近日,腾讯安全对外发布《年Windows平台漏洞年度报告》(简称《报告》),不仅盘点年发生的一些重大安全漏洞事件,而且针对个人和企业漏洞提出合理化建议。
腾讯安全电脑管家指出:漏洞是影响网络安全的重要因素,而漏洞攻击作为恶意攻击的常用手段,更是有着目标行业化、手段多样化的趋势,不论是个人还是企业,都面临严峻的漏洞威胁。
年,Windows、Office、IE、Flash等高危漏洞频繁被曝光,各种利用野外攻击的事件更是层出不穷,给网络安全带来更为严峻的挑战。
年Windows安全公告数量
在过去二十几年,Windows操作系统的漏洞提交数量呈逐年上涨趋势,而在近几年真正进入爆发性增长态势。《报告》显示,相比过去三年,年的安全漏洞提交数量同比上升超过40%,安全漏洞的数量和严重性都创下历史新高。
在软硬件漏洞遍地都是的今天,补丁管理作为网络安全最基础的一环,就显得尤为重要。作为全球知名的软件开发商,微软对旗下产品的安全性投入是比较到位的,每月都会发布补丁修复安全漏洞。
报告显示,年微软共为其产品(Windows,IE/Edge,office等)发布了个补丁,修复了个漏洞,平均每月修复多达60个漏洞。
Windows漏洞影响产品和系统分布
年,在所有漏洞影响的Windows产品中,Windows系统组件漏洞占到了35%的比例,浏览器漏洞占25%,Office漏洞则占比17%。
从年Windows漏洞影响的产品分布情况来看,Office和Adobe被曝光的漏洞相对较少,但漏洞利用比例很高。
由此可见,黑客挑选漏洞时,更可能是优先考虑漏洞利用的成本,并参考其攻击目标人群与产品用户的重合度,而与产品本身漏洞量的多少并无正相关。
在所有Windows各版本中,受到最多漏洞影响的是Windows10系统,占比高达40%。腾讯安全技术专家表示,Windows10成为当前主流操作系统的同时,漏洞曝光量也逐渐增多,企业及个人用户不可忽视其漏洞风险,建议每月及时安装更新是防范不法黑客入侵的必要步骤。
年漏洞攻击的地区和行业分布
年,漏洞攻击集中在北上广三地,其中以国家政府机关、高科技人才和经济富裕人士汇集的首都北京首当其冲。北上广是全国经济、政治和科技要地,更是走在中国国际化的前列,大量可见利益汇集,是不法黑客首选的攻击目标。
根据腾讯御见威胁情报中心数据监测,Windows操作系统存在高危漏洞在教育、政府、卫生医疗行业占比最高。
从受攻击量的对比数据看,政府、教育、医疗卫生行业因其系统存在大量高危漏洞未及时修复,所受攻击次数也相对较高。值得一提的是,科技行业虽然漏洞存在量相对较少,受攻击量却是最高,窃取机密往往是攻击者首选目的。
典型漏洞安全事件
1.“新一代幽灵”——英特尔CPU漏洞持续升级
英特尔处理器在年5月初又被GoogleProjectZero安全研究团队曝出发现8个新的“幽灵式”硬件漏洞,被称为“新一代幽灵”——Spectre-NG。利用该漏洞可绕过云主机系统与虚拟机的隔离,实现虚拟机逃逸,窃取机密信息。并且,利用该漏洞还可以攻击同一服务器的其它虚拟机。
然而,在下半年再次发现了英特尔CPU存在TLBleed、Foreshadow、PortSmash等多个超线程漏洞。11月初发现的PortSmash漏洞(CVE--)影响所有支持超线程技术的Intel处理器。利用该漏洞,攻击者所在的进程可以窃取运行在同一个物理内核的另外一个进程的隐私数据,安全研究人员已经实现从OpenSSL进程中窃取私钥。
2.Office公式编辑器再曝新漏洞,商贸信钓鱼攻击屡试不爽(CVE--、CVE--、CVE--)
年1月9日,Office公式编辑器再曝出新漏洞,这次Windows干脆直接通过删掉公式编辑器的途径来修复漏洞,一了百了。但漏洞补丁刚发布一周,就已开始出现多例CVE--漏洞的变种和在野利用。
年6月1日,腾讯御见威胁情报中心再次检测到针对中国进出口企业投放的,利用CVE--的大规模“商贸信”攻击,此类攻击邮件的投放量每天达上千封之多,病毒变种也层出不穷。
3.Adobe系列产品多次报警,0day漏洞屡遭曝光
年2月1日,Adobe官方发布了安全通告(APSA18-01)称一个最新的AdobeFlash零日漏洞被发现用于针对韩国地区的人员发起鱼叉攻击。该0day漏洞编号为CVE--,官方已于2月5日发布补丁进行修复。
年5月15日,ESET捕获了一个使用两个0day漏洞联合进行攻击的PDF样本,其中包括一个AdobeReader的0day漏洞(CVE--)和Win32k的内核提权0day漏洞(CVE--)。
4.“永恒之蓝”系列漏洞:从勒索病毒到挖矿木马
年3月,腾讯御见情报威胁中心就捕获一个门罗币挖矿木马WannaMiner利用“永恒之蓝”漏洞在局域网内传播,将染毒机器打造成庞大的僵尸网络,长期潜伏挖矿,国内多家企业超3万台电脑受到感染;
5月,捕获一款门罗币挖矿木马“微笑”通过扫描“永恒之蓝”漏洞攻击企业服务器悄悄在后台进行挖矿。该木马从3月就开始活动,截至5月,其已经累计挖取枚门罗币,挖矿收入一度高达万人民币;
6月1日,捕获一款Glupteba恶意代理木马利用“永恒之蓝”漏洞在局域网迅速传播,感染量激增;
8月,台积电曝出遭受WannaCry勒索病毒攻击导致产线瘫痪,造成25.96亿新台币损失;
8月9日,捕获蠕虫病毒bulehero利用“永恒之蓝”漏洞在企业内网攻击传播;
11月,又有一家知名半导体企业合晶科技,其位于大陆的工厂全线感染WannaCry勒索病毒,造成产线瘫痪,工厂全部停产。
5.国内首例利用“震网3”LNK漏洞实施挖矿
年3月,腾讯御见威胁情报中心监测到,国内首例使用U盘作为传播载体,利用lnk远程代码执行漏洞(CVE--4)作为主要传播手段的门罗币挖矿木马。
病毒样本通过利用Lnk漏洞执行恶意代码,还会自动感染其它插入的可移动磁盘。使用U盘作为传播载体,可被用来攻击基础设施、存放关键资料的核心隔离系统等,对政企单位的内网安全有较大威胁。由于该次攻击主要影响群体为频繁使用U盘进行文件传送的局域网用户,使得校园和政企等单位频频中招。
6.“”挂马风暴(CVE--)
年4月12日,腾讯御见威胁情报中心监控到大量客户端的内嵌新闻页中被嵌入恶意代码,导致用户在毫无知情的情况,被植入挖矿木马、银行木马、以及远控木马等。本波挂马波及到的客户端多达50多个,影响超过20w用户,影响面非常之广。
7.Windows下半年频现0day漏洞
年7、8月,InternetExplorer又相继被曝出“双杀”二代(CVE--)和“双杀”三代(CVE--)0day漏洞。
年6月,一种关于Windows10新引入的文件类型“.SettingContent-ms”的任意代码执行攻击技巧被公开了POC,该漏洞一遭公开就迅速被不法黑客和APT组织利用。在野外攻击中,捕获多个利用该0day漏洞的攻击样本。
10月17日,卡巴斯基实验室发现一例APT组织SandCat针对中东地区用户进行的小范围针对性攻击,该攻击利用了WindowsWin32k本地提权漏洞CVE--,该漏洞仅影响Windows7x86以及WindowsServer操作系统,暂时仅被发现利用于APT活动。
在10月29日,再次发现一个新的Windows内核提权0day漏洞CVE--被同一组织利用。新的漏洞可以绕过了主流web浏览器的沙箱,相较于CVE--而言更具威胁性。
如何做好漏洞防护?
个人用户
腾讯电脑管家建议,使用新版本的系统,并且及时修复系统环境中存在的安全漏洞。
其次,个人应培养良好的计算机网络安全意识,不轻易下载不明软件程序,不轻易打开不明邮件夹带的可疑附件,注意识别及不轻易打开可疑的网站,及时备份重要的数据文件。
企业用户
针对企业用户漏洞安全防护,腾讯电脑管家建议:首先,要建立有效的漏洞情报监控体系,建设完善的漏洞补丁管理能力。同时需要做好生产力工具的安全管理,积极安装最新补丁,修复漏洞,时刻保证个人/企业使用的设备、软件、硬件的安全性,缩短漏洞平均存续期,可以大大减少被不法分子攻击的可能
其次,定期组织企业信息安全演练,以钓鱼邮件、钓鱼网页、社会工程等拟真攻击手段来提高员工安全意识,能使员工对信息安全有更深刻的印象与认识,从终端杜绝安全威胁。
参考信息: