到目前为止,事实证明,2021年对于科技巨头微软来说是可以算的“安全重灾年”,许多漏洞影响了许多领先的服务,包括Active Directory、Exchange和Azure。微软经常成为试图利用已知漏洞和零日漏洞攻击者的目标,但自今年3月初以来,它面临的事件发生率和规模已经混乱了科技巨头。
以下是2021年困扰微软的重大安全事件时间表:
3月2日:Microsoft Exchange Server漏洞
第一个值得注意的安全事件发生在3月,当时微软宣布Exchange Server中存在漏洞CVE-2021-26855。该漏洞可远程执行和使用一个或多个路由器的协议级别。虽然攻击的复杂性被归类为“低”,但微软表示CVE-2021-26855被积极利用。
更重要的是,这个漏洞可以在没有任何用户交互的情况下使用,导致设备完全失去机密性和保护。据微软介绍,拒绝使用443端口Exchange服务器的不可信访问,或限制公司网络外部的连接,以防止攻击的初始阶段。然而,如果攻击者已经在基础设施中运行恶意文件,或者如果攻击者获得管理员的权限。
随后,Microsoft发布安全补丁,建议紧急面向外部Exchange安装更新服务器。
6月8日:微软修复了6个零日的安全漏洞
微软针对各种影响Windows服务安全问题发布补丁,其中六个严重漏洞成为攻击者的积极目标。这六个零日漏洞是:
CVE-2021-33742:Windows HTML组件中的远程代码执行漏洞;
CVE-2021-31955:Windows内核信息泄露漏洞;
CVE-2021-31956:Windows NTFS提权漏洞;
CVE-2021-33739:Microsoft桌面窗口管理器中的特权提升漏洞;
CVE-2021-31201:Microsoft Enhanced Cryptographic Provider特权提升漏洞;
CVE-2021-31199:Microsoft Enhanced Cryptographic Provider特权提升漏洞;
7月1日:Windows Print Spooler漏洞
安全研究人员在GitHub上公开了一个Windows Print Spooler执行远程代码0day漏洞(CVE-2021-34527)。需要注意的是,漏洞和Microsoft 6月8日星期二补丁日中修复,6月21日更新EoP升级到RCE的漏洞(CVE-2021-1675)这两个漏洞相似但不同,攻击向量也不同。
微软警告说,这个漏洞已经出现在野外使用中。Windows Print Spooler 服务不正确执行特权文件时,存在远程执行代码漏洞。成功利用这个漏洞的攻击者可以使用 SYSTEM 权限运行任何代码、安装程序、查看、更改或删除数据,或创建具有完全用户权限的新账户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 经身份验证的用户。
专家建议的缓解措施包括立即安装安全更新,并确保设置以下注册表“0”(零)或未定义:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
8月:研究人员披露Microsoft Exchange Autodiscover漏洞
Autodiscover是Microsoft Exchange用于自动配置outlook这类Exchange客户端应用的工具。8月份,安全供应商Guardicore研究人员发现,Microsoft Exchange Autodiscover设计缺陷导致协议Web请求“泄漏”在用户域外Autodiscover但仍在同一顶级域(TLD)比如 Autodiscover.com。
事实上,Autodiscover漏洞不是新问题。早在2017年,Shape Security当年首次披露核心漏洞,Black Hat Asia调查结果显示在上面。CVE-2016-9940 和 CVE-2017-2414 发现漏洞只影响移动设备上的电子邮件客户端。Shape Security在2021年,更多的第三方应用程序再次面临着同样的问题。
与此同时,微软开始调查并采取措施减轻威胁,以保护客户。微软高级主管Jeff Jones表示,“我们致力于协调漏洞披露,这是一种行业标准的合作方式,可以降低客户在问题披露前面临的不必要风险。不幸的是,这个问题在研究人员向媒体披露之前没有向我们报告,所以我们今天才知道。此外,我的报告还清楚地引用了2017年 提出的研究。这不是零天的漏洞,至少存在了1460天。微软不可能不知道这个漏洞。”
8月26日,成千上万的研究人员访问Microsoft Azure客户的数据
8 26 日,云安全供应商Wiz宣布,在Microsoft Azure托管数据库服务Cosmos DB发现了一个漏洞, Wiz将其命名为“Chaos DB”,攻击者可以利用这个漏洞获得服务上每个数据库的读写访问权限。Wiz两周前才发现漏洞,但该公司表示,该漏洞已存在于系统中“至少几个月,甚至几年”。
在被告知存在漏洞后,微软安全团队禁止了易受攻击Notebook功能,并通知超过30%的Cosmos DB客户需要手动轮换访问密钥来降低风险Wiz探索漏洞在大约一周内启用Jupyter Notebook功能客户。此外,微软还向前发展Wiz支付4万美元的赏金。目前,微软安全团队已修复漏洞。
9月7日:Microsoft MSHTML漏洞
97月7日,微软发布安全通知披露Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444),攻击者可以制造恶意ActiveX托管浏览器显示发动机的控件Microsoft Office文档使用成功诱导用户打开恶意文档后,可以在目标系统上执行用户权限的任何代码。微软在通知中指出,该漏洞已被在野外使用,请采取措施保护相关用户。
据悉,MSHTML(又称为Trident)它属于微软Internet Explorer 浏览器引擎也用于 Office在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管内容。AcitveX控件是微软COM结构下的产品,在Windows的Office套件、IE浏览器应用广泛,应用广泛ActiveX控件即可与MSHTML组件交互。
9月14日,微软发布安全更新,解决漏洞,敦促客户及时更新反恶意软件产品。
9月14日:微软披露了几个未使用的漏洞
发布安全更新以缓解Trident在漏洞的同一天,微软发布了大量关于其服务中未使用漏洞的详细信息。
CVE-2021-36968:Windows DNS提权漏洞。攻击者通过本地(如键盘、控制台)或远程(如SSH)访问目标系统使用漏洞;或者攻击者依靠他人的用户交互来执行使用漏洞所需的操作(例如,引诱合法用户打开恶意文档)。漏洞攻击的复杂性和所需的权限较低,可以在本地使用,而无需用户交互。
CVE-2021-38647:影响Azure基础结构开放管理(OMI)远程代码执行漏洞。该漏洞的攻击复杂性较低,不需要用户交互,并可能完全拒绝访问受影响的组件中的资源。8月11日GitHub为了让用户发布完整的修复程序,发布了修复程序CVE详细信息之前降低风险。
CVE-2021-36965:影响Windows WLAN AutoConfig服务漏洞。该漏洞绑定到网络堆栈中,但攻击仅限于协议级别的逻辑相邻拓扑。这意味着攻击必须从相同的共享物理或逻辑网络或安全或其他有限的管理领域开始。该漏洞仅限于同一安全机构管理的资源。
CVE-2021-36952:执行远程代码Visual Studio攻击者可能完全拒绝访问受影响组件中的资源。
CVE-2021-38667:影响Windows Print Spooler新的授权漏洞。攻击者被授权(即需要)提供基本用户功能的特权,通常只会影响用户的设置和文件。或者,权限低的攻击者只能影响非敏感资源。CVE-2021-36975和CVE-2021-38639:微软还分享了两个影响Win32k新特权提升漏洞。两者都可能被攻击者反复成功利用。
9月16日,攻击者使用ManageEngine ADSelfService Plus中的漏洞
来自FBI、美国海岸警卫队网络司令部(CGCYBER)和CISA联合咨询警告称,Zoho ManageEngine ADSelfService Plus该平台有严重的身份验证绕过漏洞,可导致远程代码执行(RCE),为肆无忌惮的攻击者打开公司大门,攻击者可以自由控制用户Active Directory(AD)和云帐户。
Zoho ManageEngine ADSelfService Plus是一个针对AD自助密码管理和单点登录云应用程序(SSO)该平台意味着任何能够控制该平台的网络攻击者都将在两个关键任务应用程序(以及他们的敏感数据)中拥有多个轴点。换句话说,它是一个功能强大、特权高的应用程序,可以作为用户和攻击者进入企业各个领域的便捷入口点。
9月27日:APT29以Active Directory联合身份验证服务是目标
安全研究人员标记了一个联系俄罗斯政府的网络间谍组织,部署了一个新的后门,旨在利用它Active Directory联合服务(AD FS)并窃取配置数据库和安全令牌证书。微软将恶意软件程序FoggyWeb归咎于NOBELIUM(也称为 APT29 或 Cozy Bear)组织——被认为是 SUNBURST幕后黑手在后门。微软表示已通知所有受影响的客户,并建议用户:
审查当地和云基础设施,包括配置、每个用户和每个应用程序的设置、转发规则以及参与者可能为维护访问而进行的其他变更;
删除用户和应用程序访问权限,审查每个用户/应用程序的配置,并根据记录在案的行业最佳实践重新发放新的、强大的证据;
使用硬件安全模块(HSM)以防止FoggyWeb泄露机密数据;
10月:发布并修复4个零日漏洞
10月12日,微软发布了4个0day分别为:
CVE-2021-40449:Win32k权限增加漏洞。调查显示,黑客组织正在利用这一点0day针对漏洞IT广泛的间谍活动,包括公司、军事/国防承包商和外交实体。攻击者通过安装远程访问木马获得更高的权限。
CVE-2021-40469:Windows DNS服务器远程代码执行漏洞。在域控制器上实现远程代码执行的攻击者获得域管理员权限的后果非常严重,但幸运的是,这个漏洞很难武器化。
CVE-2021-41335:Windows提高内核权限的漏洞。漏洞已公开披露POC在(概念验证)中,攻击者可以在核心模式下运行任何代码,这通常是攻击链的重要组成部分。
CVE-2021-41338:Windows AppContainer防火墙规则安全功能绕过漏洞。AppContainer它可以防止恶意代码和第三方应用程序的渗透。这个漏洞允许攻击者绕过Windows AppContainer防火墙规则,无需用户交互即可使用。
微软仍然专注于攻击目标
如过去几个月发生的事件所示,Microsoft 服务仍然是攻击和利用漏洞的重要目标,漏洞层出不穷。Forrester研究总监兼首席分析师Merritt Maxim表示,“由于它们在全球范围内广泛部署,微软的应用程序和系统仍然是黑客眼中的高价值目标。”
Maxim估计,大约80%的企业都以某种形式在全球范围内使用Microsoft Active Directory。鉴于Active Directory作为用户身份验证凭证(等功能)的存储库,身份验证凭证是黑客非常有价值的数据源,因此黑客将继续针对它Microsoft攻击系统。
攻击者会根据价值选择自己的目标。系统或程序越受欢迎,对黑客的价值就越大。此外,由于微软的复杂性和普遍性,其暴露的攻击面也非常大,其中大部分可以远程访问。人气与大规模远程可访问攻击面的结合创造了完美的目标。
微软对安全事件的回应
在反思微软对安全事件的反应和处理时,Netenrich 首席威胁猎手John Bambenek总的来说,公司做得很好。如果有需要改进的地方,他们可能需要有最完善的产品安全流程。
Maxim同意这一点。“考虑到他们的系统无处不在,跟踪每一个可能的漏洞都是一项不可能的任务。微软需要继续增加投资原产品的安全功能,并继续通过微软威胁情报中心等机构对影响其平台的新兴恶意软件进行详细分析和调查,使企业能够了解情况并受到保护。”
然而,即使微软迅速做出反应,并试图修复漏洞,由于最近的补丁不完整,它仍然导致了大规模的漏洞利用。Kolodenker解释称,“许多Microsoft高危漏洞都是合法的安全专业人员发现的,只有在最初的补丁发布后,攻击者才开始猖獗利用。而在补丁广泛采用之前发布概念公开证明(PoC)这种情况只会进一步加剧。”
这就是为什么组织不仅要依靠服务提供商提供的安全更新和维修,还要承担部分责任,及时应用安全补丁和维修程序来减少“以漏洞为中心”利用和攻击漏洞的风险。
Jartelius提倡结合预防性和反应性方法。“就像我们反复测试火灾报警系统一样,我们也应该测试这些安全防御机制。使用内部或外部团队来模拟真实的攻击,而实践观察和响应攻击的公司通常会在成为现实世界的目标之前及时发现自己的防御缺陷。”
本文翻译自:https://www.csoonline.com/article/3635849/microsofts-very-bad-year-for-security-a-timeline.html若转载,请注明原文地址。