什么是漏洞利用?

漏洞公布 小布 358浏览 0评论

漏洞利用是利用漏洞 导致意外行为或未经授权访问 敏感数据的一段软件、数据或命令序列 。

CVE 是一个免费的漏洞词典,旨在通过为给定的漏洞或暴露创建标准化标识符来提高全球 网络安全和网络弹性。

漏洞利用如何运作?

漏洞利用操作系统、软件、计算机系统、物联网 (IoT) 设备中的安全漏洞或其他安全漏洞。

一旦漏洞被使用,易受攻击的系统或软件的软件开发人员通常会知道它,并且通常会通过补丁修复并变得无法使用。

这就是为什么许多网络犯罪分子以及军事或政府机构不向CVE发布漏洞利用,  而是选择将其保密。

发生这种情况时,该漏洞被称为0 day漏洞或0 day漏洞利用

政府机构 (NSA) 选择将软件漏洞保密的一个著名例子是 EternalBlue。

EternalBlue 利用旧版本的 Microsoft Windows 操作系统,该操作系统使用过时版本的服务器消息块 (SMB) 协议。

网络犯罪分子开发了WannaCry 勒索软件 蠕虫,该蠕虫利用 EternalBlue 并在 EternalBlue 打补丁之前传播到 150 个国家的约 200,000 多台计算机,造成的损失从数亿美元到数十亿美元不等。

尽管软件开发商发布了补丁来修复永恒之蓝,但由于用户对该补丁的采用率低,这个已知漏洞仍然是一个巨大的网络安全风险。

 有哪些不同类型的漏洞利用?

漏洞利用可分为五类:

  1. 硬件: 加密不佳、缺乏 配置管理 或固件漏洞。
  2. 软件: 内存安全违规(缓冲区溢出、过度读取、悬空指针)、输入验证错误(代码注入、跨站脚本 (XSS)、目录遍历、电子邮件注入、格式字符串攻击、HTTP 标头注入、HTTP 响应拆分、SQL 注入)、权限混淆错误(点击劫持、跨站点请求伪造、FTP 反弹攻击)、竞争条件(符号链接竞争、时间检查到使用时间错误)、旁道攻击、定时攻击和用户界面故障(指责受害者、竞争条件、警告疲劳)。
  3. 网络: 未加密的通信线路, 人在这方面的中间人攻击, 域名劫持, 注册近似域名,可怜的 网络的安全性,缺乏认证或默认密码。
  4. 人员: 招聘政策和流程不完善,缺乏安全意识培训,对信息安全政策的遵守 不力,密码管理不善或陷入网络钓鱼、 鱼叉式网络钓鱼、借口、蜜罐、窃听、水坑或捕鲸 等常见 社会工程攻击 。
  5. 物理站点: 物理安全性差,尾随和缺乏钥匙卡访问控制。

在每个类别中,我们可以将漏洞分为两组:已知漏洞和零日漏洞:

  • 已知漏洞: 利用安全研究人员知道并记录在案。针对已知漏洞的漏洞利用通常已经修补,但由于修补速度缓慢,它们仍然是一个可行的威胁。
  • 漏洞: 尚未向公众报告或在CVE 上列出的0 day漏洞。这意味着网络犯罪分子在开发人员能够发布补丁之前就已经发现了漏洞,在某些情况下,开发人员甚至可能不知道该漏洞。

漏洞利用是如何发生的?

漏洞利用有以下几种方式:

  • 远程利用: 通过网络工作并利用漏洞而无需事先访问易受攻击的系统。
  • 本地漏洞利用: 需要事先访问易受攻击的系统,并将攻击者的特权提高到超过安全管理员授予的特权。
  • 客户端漏洞利用: 存在针对客户端应用程序的漏洞利用,通常由修改后的服务器组成,这些服务器在通过客户端应用程序访问时发送漏洞利用。它们还可能需要用户的交互,并依靠网络钓鱼 或 社会工程 技术  来传播或广告软件。

通常,漏洞利用旨在破坏软件或系统的机密性、完整性或可用性(CIA 三元组)。

许多网络犯罪分子通过针对多个 攻击媒介来解决这一问题,首先获得有限的访问权限,然后使用第二个 漏洞 来提升权限,直到他们获得 root 访问权限。

这就是为什么那些负责保护 信息安全、 网络安全 和 数据安全的人 必须采用 深入防御。

例如,攻击者可以通过 在计算机上安装恶意软件来破坏计算机的机密性,通过将恶意代码注入 Web 浏览器来破坏 网页的完整性,或者通过执行由木马僵尸网络。

什么是漏洞利用工具包?

漏洞利用工具包是一种程序,攻击者可以使用该程序针对常见安装的软件(如 Adob​​e Flash、Java 和 Microsoft Silverlight)中的已知漏洞启动漏洞利用。

典型的漏洞利用工具包提供了一个管理控制台、针对不同应用程序的漏洞和几个可以更轻松地发起网络攻击的插件 。

由于其自动化性质,漏洞利用工具包是传播不同类型的恶意软件 并产生利润的流行方法 。漏洞利用工具包的创建者可以将其漏洞利用工具包作为服务或一次性购买提供。

如何降低漏洞利用风险?

您的组织可以通过在发布后立即安装所有软件补丁、提供网络安全意识和OPSEC 培训以及投资安全软件(如防病毒软件、 自动泄露凭据发现和数据泄露检测)来降低漏洞利用风险 。

了解云安全性也是值得的,因为 S3 安全性在设计上存在缺陷。

另外,经常被忽略的 攻击向量 表示显著 网络安全风险 的 第三方供应商。

处理敏感数据 (例如 受保护的健康信息 (PHI)、 个人身份信息 (PII) 或 生物特征数据)的供应商  如果其网络安全性 比您的组织差,则 可能成为企业间谍活动 或 网络攻击的目标 。

供应商风险管理 是信息风险管理中越来越重要的一部分 ,投资开发强大 的第三方风险管理框架、 供应商管理政策 和 网络安全风险评估 流程。

向当前和潜在供应商询问他们的 SOC 2 保证报告,避免不符合您的安全标准的供应商。

第三方风险 和 第四方风险 是许多 数据泄露 和 数据泄露的核心。由于  涉及第三方的数据泄露成本平均达到 429 万美元,因此需要为防止数据泄露付出代价 。

如果您的安全团队很小,请考虑 自动化供应商风险管理。

简而言之,专注于防止漏洞利用而不是清理它们。即使您意识到自己受到了攻击,  IP 归属 和 数字取证 也不总是能够为您提供答案。

什么是漏洞利用的例子?

2016 年,雅虎宣布超过 10 亿用户帐户被泄露,成为  有史以来最大的数据泄露事件之一。攻击者能够获得访问权限是因为雅虎使用了一种称为 MD5 的弱且过时的哈希算法。

另一个著名的例子是 利用 EternalBlue漏洞的 WannaCry 勒索软件加密蠕虫 。EternalBlue 在袭击发生前几个月被一个名为 The Shadow Brokers 的组织窃取并 泄露。

虽然 EternalBlue 很快得到了修补,但 WannaCry 的成功很大程度上归功于组织没有修补或使用旧的 Windows 系统。

 

转载请注明:布尔云安的博客 » 什么是漏洞利用?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址