漏洞更新 – 2020 年

漏洞公布 小布 119浏览 0评论

在我们的最新更新中,Avira 的漏洞检测团队研究了 2020 年末的一些最关键的漏洞。

2020 年的漏洞报告如果不涉及一些人所说的“世界上有史以来规模最大、最复杂的攻击” 就不会是完整的但我们还将研究其他一些新的和一些不太新的漏洞,这些漏洞允许攻击者对类 Unix 和 macOS 系统进行 root 访问并触发 Windows Defender 扫描。

前 5 个漏洞

根据我们对其重要性、覆盖范围和影响的评估,我们列出了 2020 年末的 5 大漏洞威胁。

概括

今年冬天,我们看到多个关键和高风险漏洞在各种软件平台上被披露和修补。微软和苹果修补了几个远程漏洞。Solarwinds 中的供应链攻击和一系列漏洞(于 2021 年初修复)的披露震惊了企业和政府的安全团队。有时,合法软件可能包含恶意软件。

总体而言,我们看到在 2021 年的头几个月,在野外和网络安全攻击中利用的漏洞数量有所增加。

SolarWinds Orion 产品中披露的一系列漏洞

2020 年 12 月,SolarWinds 确认了对其网络监控软件 Orion 的复杂供应链攻击。黑客创建了一个后门,允许他们破坏 Orion 修补和更新部署机制的安全性和完整性。该事件影响了许多公司和政府机构。此后,关于 Sunburst 后门的大量研究已经发表。

在 FireEye 发布有关 Sunburst 的警报几天后,GuidePoint 的研究人员发现了一种名为“SuperNova”的无关恶意软件。SuperNova 利用零日漏洞执行内存中的 .NET web shell 进行侦察并允许横向移动。该漏洞已指定为CVE-2020-10148。它代表了一个身份验证绕过问题,可能允许远程攻击者在 Orion 平台 Web 界面上执行 API 命令。

远程代码执行场景通过操纵发送到网络服务器的 URI 请求发生,并在端点路径中包含特定参数,这些参数将触发后端的授权跳过。然后可以在不需要有效身份验证的情况下处理 API 请求。

2021 年 2 月发现了三个新的零日漏洞(CVE-2021-25274、  CVE-2021-25275和 CVE-2021-25276)及其相应的概念验证代码。这些漏洞与 SolarWinds 攻击没有任何联系,也没有关于野外利用的报告。

然而,其中最严重的漏洞是反序列化问题。外部攻击者可以利用它来获取远程代码执行。由于该漏洞是在运行本地系统帐户的 Windows 服务的上下文中执行的,因此风险更大。

Apple 发布了针对多个高危漏洞的修复程序

Apple 最新的 iOS 14.14 更新版本包含针对三个零日漏洞的安全补丁。苹果公司认为它们可能已在野外被利用。结合CVE-2021-1870 和 CVE-2021-1871 可能会导致完整的远程代码执行场景。

影响 WebKit 的漏洞之一允许远程攻击者在受害者的设备上获得任意代码执行。相比之下,其他与内核相关的漏洞允许攻击者提升系统权限。

谷歌修补了一个在野外被利用的 Chrome 零日漏洞

2021 年 2 月初,Google 发布了一个补丁来修复CVE-2021-21148,这是在基于 Chromium 的浏览器上运行的 V8 JavaScript 引擎中基于堆的溢出内存损坏。该版本表明对该漏洞的积极利用。在大多数用户更新之前,漏洞详细信息将受到限制。这个问题标志着 2021 年浏览器中的第三个零日漏洞。尽管有漏洞利用的报告,但没有出现概念文件的证明。

sudo 中基于堆的缓冲区溢出

在所有主要类 Unix 操作系统上可用的 sudo 实用工具中发现的堆溢出漏洞表明并非所有漏洞都是新的。该漏洞于 2011 年 7 月首次引入,影响所有旧版本及其默认配置。它被分配了CVE-2021-3156

成功利用可能允许本地系统上的非特权用户获得对易受攻击主机的 root 访问权限。根据根本原因分析得出并发布了多个概念验证漏洞。我们在易受攻击的操作系统列表中注意到了 Ubuntu、Debian、Fedora 和 macOS。

Windows Defender 中的权限提升漏洞

发现旧流行软件中的漏洞是 2020 年底的趋势。CVE-2021-24092解决了 2021 年 2 月存在 12 年的 Windows Defender 特权升级漏洞。 Defender 修复过程负责删除创建的文件系统和注册表资源通过恶意软件。加载易受攻击的驱动程序时,不会检查创建的日志文件名是否已经存在。这创造了文件覆盖的可能性。

此外,最近一个分配为CVE-2021-1647 的漏洞 代表同一 Microsoft Defender 防病毒软件中的远程代码执行。此特定漏洞具有更高的风险,因为外部攻击者可以伪造特定文件,这些文件将在 Microsoft Defender 防病毒软件启动扫描时立即运行。

使用作为电子邮件附件或任意下载文件发送的漏洞利用文件,攻击者可以发起非交互式远程攻击。收到后,这些可以触发防病毒扫描。然而,考虑到有效载荷交付场景,CVSS 的整体得分并不是那么好。

进一步阅读

漏洞和利用是一个持续的威胁。在 Avira 的漏洞检测实验室,我们不断监控漏洞利用活动并分析最新漏洞,为我们的客户提供最佳保护和检测能力。

转载请注明:布尔云安的博客 » 漏洞更新 – 2020 年

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址