随着Angler与其它多种漏洞工具包将Flash与Silverlight漏洞纳入清单,我们需要时刻关注最新补丁以避免受到影响。
勒索软件攻击活动近来持续兴起,而人们给出的主要应对方式在于建立强大的备份策略并开始争论是否该为其交付赎金。不过除了问题本身,我们也应该认真考虑如何利用良好的补丁管理策略以抢先一步解决问题。
过去几个月以来,众多主流漏洞工具包已经将勒索软件纳入清单。这些工具包主要着眼于指向Adobe Flash与微软Silverlight安全漏洞的勒索软件,包括Cryptowall、AlphaCrypt以及TeslaCrypt等等,Recorded Future在分析报告中指出。研究人员们发现,近来出现的Flash与Silverlight漏洞修复补丁已经成为应对Angler、Neutrino以及Nuclear等漏洞工具包内相关勒索软件的“关键性途径”。
“最近发布的漏洞修复补丁能够显著缓解勒索软件的肆虐程度,”Recorded Future研究员Scott Donnelly写道。
Recorded Future发现,Angler已经纳入了Silverlight的一项远程代码执行漏洞(CVE-2016-0034),而TeslaCrypt最初于今年2月对其加以利用。微软公司曾经在1月的安装补丁中对其进行了修复,并指出其已经受到了“一定数量的攻击”。而在几周后,其才被纳入Angler并广泛用于攻击活动。
Adobe公司也已经修复了Flash播放器中的堆缓冲区溢出漏洞(CVE-2015-8446)以及整数溢出漏洞(CVE-2015-8951),具体时间点为去年12月。编号为CVE-2015-7654的类型混淆漏洞则于去年10月得到修复。当时Adobe曾表示其中的整数溢出与类型混淆漏洞“只出现在数量有限的针对性攻击中”。
Angler、Neutrino、Magnitude、RIG以及Nuclear等漏洞工具包目前已经包含至少一种以上提到的Flash漏洞。截至目前,Angler为惟一包含三种漏洞的工具包,Recorded Future指出。
过去几个月来,北美与欧洲地区的一些市级医疗与警用计算机已经遭到勒索攻击。“糟糕的补丁安装与令人失望的安全投入导致当地公共安全与政府机构的电脑系统面临风险,”Donnelly表示。
别让坏人有机可乘
漏洞工具包往往依靠过时的软件缺陷与安全漏洞实现攻击活动。受害者不需要点击并下载任何恶意软件——该漏洞工具包会利用探针识别系统中的漏洞软件并启动相应漏洞。
这些攻击活动之所以能够成功,是因为安全更新发布与安全更新安装之间存在时间差。工具包不需要使用任何零日漏洞,因为机会窗口与受害者数量已经足够庞大。一些更为先进的漏洞工具包——例如Angler——能够非常及时地在几周甚至几天之内纳入最新漏洞。
Angler还促成了最近被广泛关注的几次恶意广告勒索行为,包括在合法网站上显示恶意广告(包括MSN以及其它媒体渠道),并将用户重新定向至存在漏洞工具包的网站处。保持操作系统处于最新版本并对各类主流软件安装修复补丁——包括网络浏览器、Flash播放器、Silverlight以及Java等——能够有效降低勒索软件的成功机率。
当然,推迟补丁安装也可能出于某些商业理由。宕机时间是其中最重要的因素,而且技术人员需要对每项补丁进行测试以确保其与其它已安装应用程序相兼容。
“修复漏洞会给业务带来严重影响,因为补丁安装可能导致停机时间以及兼容性问题。因此要想解决补丁安装难题,理想的补丁管理方案可谓至关重要,”Donnelly指出。
需要优先安装的补丁
Recorded Future给出建议,提醒我们优先修复Flash与Silverlight中的安全漏洞。另外Flash还曾于2015年曝出过8项常见安全漏洞,具体编码分别为CVE-2015-0313、CVE-2015-5119,、CVE-2015-5122、CVE-2015-0359、CVE-2015-3113、CVE-2015-0311、CVE-2015-3090以及CVE-2015-0336。
而卸载使用频率较低的软件也是个好主意,因为这能有效减小攻击面。不过对于大量使用Flash、Java以及Silverlight等主流软件的企业来说,此类作法显然帮不上忙。他们需要经常更新补丁以领先于漏洞工具包的升级节奏。
勒索软件还提供多种不同的攻击微量,包括带有恶意附件的垃圾邮件、存在可疑链接的钓鱼邮件以及包含诱杀文件的网站,漏洞工具包只是其载体之一。不过及时安装补丁并降低勒索软件感染威胁能够帮助企业至少解决一种常见的恶意攻击场景。