一、 前言
2017年是全球漏洞攻击异常活跃的一年:5月中旬WannaCry勒索病毒利用“永恒之蓝”漏洞洗劫全球150多个国家;12月底CPU特性漏洞曝光,几乎影响所有Windows、Linux等操作系统和相关软件;9月和11月份多个Office高危漏洞曝光,各种野外利用案例层出不穷,Office文档+钓鱼邮件逐渐成为攻击者的惯用手段……2017年漏洞攻击呈现全球传播态势,网络安全面临着严峻的漏洞威胁。
此外,鉴于目前国内80%以上的Office用户因为使用低版本的Office而存在严重的漏洞隐患,Office漏洞防护的重要性被提升到一个新高度,网络安全进入新常态。
对此,腾讯御见威胁情报中心连同腾讯安全联合实验室旗下七大实验室,在漏洞挖掘、漏洞攻防技术研究等领域始终保持领先全球的综合实力,坚持为用户提供最优的漏洞防护解决方案:
1、 及时推送漏洞安全补丁,全年为用户修复漏洞50亿+次;
2、 针对Office公式编辑器系列漏洞,首推独有的“女娲石”防御技术,帮助低版本Office用户免疫同类型Office漏洞攻击;
3、 推出多个漏洞的专项免疫工具,为非电脑管家用户提供可靠的漏洞防护方案。
(图1:腾讯电脑管家推出的勒索病毒免疫工具)
二、 2017年Windows漏洞补丁介绍
微软固定在每月第二个星期二(国内时间为星期三凌晨)发布补丁,腾讯电脑管家测试确认补丁安全性后,会第一时间将补丁推送给国内用户。
(图2:2017年Windows安全公告数量)
2.1、 补丁类型分布
从补丁类型上来看,Office补丁占比高达50%。其主要原因有:
a) Office牵涉范围较广:包含Word、Excel、Outlook等子软件功能,并且同时存在Office 2007、2010、2013、2016等诸多版本。
b) Office相关漏洞被黑产从业者频繁使用:
i. 存在于Office/RTF中的黑客奥斯卡神洞(CVE-2017-0199),利用Office的逻辑缺陷,被稳定的应用到各种病毒木马传播当中;
ii. 9月份披露的另一个高危漏洞: CVE-2017-8759,是一个.NET Framework漏洞,对于一般用户而言,很少有场景或机会主动触发一个.NET类的程序,但是这个漏洞却能够被集成到Office文档中,从而构建出了一个微妙的触发场景,攻击者通过邮件钓鱼等方式便可以进行肆意传播。
(图3:2017年Windows漏洞影响的产品分布)
此外,从披露的漏洞类型来看,远程执行代码漏洞和信息泄漏漏洞约占73%。2017年爆发的 WannaCry利用“永恒之蓝”漏洞(MS-010)、黑客奥斯卡神洞(CVE-2017-0199)、2017年底的公式编辑器漏洞(CVE-2017-11882、CVE-2018-0802)均为典型的远程执行代码漏洞;而跨年跨平台的CPU特性漏洞(Meltdown、Spectre)就属于典型的信息泄漏漏洞。
(图4:2017年Windows漏洞类型分布)
2.2、 漏洞存在和漏洞攻击具有明显的地区分布特点
从国内存在漏洞的机器分布看,其与国内电脑的地区分布基本保持一致,东南沿海发达地区、人口大省等地区电脑拥有量较多,漏洞修复量最高,同时未修复漏洞的机器数量也比较多。
(图5:2017年存在Windows漏洞的电脑地区分布)
从漏洞攻击的角度来看,漏洞攻击往往会有一定的目的性,具有很强的目标群体攻击意识,其分布地区也与存在漏洞的机器分布地区有所差异。
以利用CVE-2017-11882漏洞的“商贸信”病毒为例,攻击者利用钓鱼邮件将含有漏洞攻击代码的Word文档伪装成采购清单、帐单等文件发送给外贸行业的从业人员,引诱目标用户打开文件触发恶意执行代码,因此其攻击对象主要集中在珠三角、长三角等外贸行业相对发达的地区。
(图6:“商贸信”病毒攻击地区分布图)
2.3、 漏洞修复情况
从各漏洞修复率来看,Flash软件漏洞的修复率最高,Office软件修复率垫底。各类型Windows漏洞修复失败原因分析如下:
(图7:2017年各类型Windows漏洞修复成功率)
a) Flash类更新
各大浏览器、视频、音乐等等第三方软件均会自带一个Flash插件,微软官方提供的Flash更新无法完全覆盖第三方浏览器目录下的所有Flash插件,导致部分用户电脑上的Flash插件存在漏洞,而且不能及时得到修复解决。
b) Windows(含IE、Edge等Windows内置的浏览器补丁)
微软安全更新仅支持Windows 7 SP1 及以上版本的操作系统用户,其以下版本并没有官方补丁,而国内用户仍然有部分用户使用Windows XP 及Windows 7 SP0(RTM)操作系统,因此无法正常修复已经存在的漏洞。此外,由于国内Windows操作系统版本较为复杂,部分安全补丁并不能正常更新安装,例如2016年4月份微软推出的Windows更新,曾造成数百万个国内用户电脑蓝屏。如果用户继续修复此类无法正常更新安装的漏洞,会导致电脑反复蓝屏,不能正常启动。
c) Office
11月份微软宣布停止对Office2007及以下版本的Office提供技术支持,意味着Office2007及以下版本的Office即使出现安全漏洞,微软也不再会推出安全更新进行修复。微软仅支持Office2010 SP2、Office2013 Sp1、Office2016/365等一些版本的技术支持。
此外,国内用户电脑环境较为复杂, 70%以上的Office用户使用Office2007及以下版本的Office。出于需要付费购买版权等原因,多数人并没有选择升级Office,并且即便是升级了Office的用户,也大都是使用Office2010 SP2、Office2013 Sp1以下版本,因此2017年Office漏洞的最高修复率基本保持在15%左右。
三、 2017年典型Windows漏洞
(图8:2017年度Windows典型漏洞)
3.1、 Office公式编辑器漏洞(CVE-2017-11882/CVE-2018-0802)
2017年11月14日,微软修复了编号为CVE-2017-11882的Office远程代码执行漏洞。安全公司EMBEDI也在当天公开CVE-2017-11882分析报告,讲述其发现漏洞过程,并揭露了部分漏洞利用细节。随后该漏洞的验证代码(PoC)被公开,并可通过Github等渠道下载。
Office公式编辑器漏洞为典型的栈溢出漏洞,存在于Eqnedit.exe组件中,漏洞非常简单而且利用稳定,极易用于黑客攻击。据悉,Eqnedit.exe组件于2000年编译加入Office之后就没有任何修改,迄今已存在17年,这也意味着所有Office版本都会受该漏洞影响。
微软出于安全性的考虑,在2017年11月份的补丁中对Eqnedt32模块加上了ASLR(地址随机化)漏洞缓解措施,但实际上起到的效果非常有限。
腾讯电脑管家安全专家在CVE-2017-11882研究的基础上,发现了Eqnedt32模块还存在其他漏洞(编号CVE-2018-0802),极有可能被不法分子利用,于是第一时间将这个漏洞同步给了微软。
2017年12月5日,腾讯安全御见情报中心发出预警:一款针对外贸行业的“商贸信“病毒,利用CVE-2017-11882漏洞,将带有恶意利用代码的Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,仅一天时间国内就有约10万多用户收到此类钓鱼邮件。
2017年12月20日,腾讯御见威胁情报中心捕获了一例“黑凤梨”(BlackTech)APT组织利用CVE-2018-0802 0day漏洞攻击的样本,并在第一时间上报微软,获得微软公开致谢。经分析,此次攻击采用鱼叉攻击的方式,利用Office公式编辑器中的0day漏洞(CVE-2018-0802),将携带恶意代码的Office文档伪装成办公文件进行传播,影响范围较为广泛。
3.2、 永恒之蓝(MS-010)
2017年5月12日WannaCry勒索病毒全球大爆发,包括中国在内的至少150多个国家,30多万名用户中招,并且金融、能源、医疗等众多行业皆受影响,据统计其造成损失高达80亿美元。
WannaCry恶意软件雏形来自美国国家安全局(NSA)此前泄露的黑客渗透工具(NSA武器库)之一—永恒之蓝(Eternal Blue)。据悉,美国国家安全局的“黑客武器库”被犯罪团伙影子经纪人(Shadow Brokers)偷走,从而让黑客组织获得了大量的互联网攻击病毒。
ms17-010对应CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148等多个SMB漏洞编号。
“永恒之蓝”漏洞(MS-010)是Windows SMB服务在处理SMB v1请求时发生的,srv.sys在处理SrvOs2FeaListSizeToNt的时候校验不正常,导致越界拷贝,致使攻击者在目标系统上可以执行任意代码。
3.3、 黑客奥斯卡神洞(CVE-2017-0199)
CVE-2017-0199漏洞的利用非常简单,不同于内存破坏漏洞,它不需要做内存布局,不需要绕过微软采用的一系列诸如ASLR、DEP之类的漏洞缓解措施,就能实现从远程服务器下载执行任意代码,而且成功率非常高,同时影响Office所有版本。在2017年BlackHat黑帽大会上,CVE-2017-0199被评为最佳客户端安全漏洞奖。
这个漏洞其实是Microsoft Office的OLE处理机制实现上存在的一个逻辑漏洞,其成因主要是word在处理内嵌OLE2LINK对象时,通过网络更新对象时没有正确处理Content-Type所导致的。攻击者可利用这个漏洞构造恶意Office文件,当用户打开特殊构造的恶意Office文件后,无需其他的操作,就可以实现在用户系统上执行任意命令,从而控制用户系统。
微软在2017年4月份发布补丁修复了CVE-2017-0199,分成两部分,一部分是针对Office的补丁,修改了MSO.dll,一部分是针对Windows的补丁,修改了ole32.dll,需要Office补丁和Windows补丁两者结合一起,才能完整修复这个漏洞。微软在补丁中加入了一套过滤机制,在Office尝试初始化两个危险的COM对象时,直接拒绝掉。
单纯地过滤COM对象的GUID很容易,但是可以寻找另外的COM对象来绕过补丁,这导致了另外一个漏洞:CVE-2017-8570的诞生,安全研究人员另外找到了一个GUID为{06290BD2-48AA-11D2-8432-006008C3FBFC}的COM对象,它和CVE-2017-0199其中的一个GUID({06290BD3-48AA-11D2-8432-006008C3FBFC})非常类似,可以看到两者只相差一位。这个新的GUID绕过了微软针对CVE-2017-0199的补丁,微软不得不继续添加过滤列表,在8月份继续发布补丁封堵了这个新的GUID。在可以想象的将来,预计这个过滤列表会继续增加下去。
3.4、 EPS 漏洞 (CVE-2017-0261、CVE-2017-0262)
CVE-2017-0261是一个EPS的UAF漏洞,本地VM中的对象分配和对本地VM中的现有对象的修改由称为save和restore的功能完成,它们可以用来封装位于本地VM中的Post语言程序的相关代码。restore能够释放新建的对象,并撤消从相应的save操作后对现有对象的修改,回收从save操作后所分配的内存。当与forall运算符组合时,攻击者就可以实施类似Use-After-Free的漏洞攻击了。
CVE-2017-0262是一个EPS的类型混淆漏洞,由forall操作符引发的,它可以改变执行流程,允许攻击者控制栈上的值。攻击者继而利用了两个数组对象,实现了EPSIMP32.FLT的基址泄漏和任意地址读写。
这两个漏洞最终都实现了在FLTLDR.EXE进程中执行任意代码,但它是一个沙箱进程,权限很低,所以攻击者还需要利用内核提权漏洞来实现沙箱逃逸,获取到系统的最高控制权。
由于脚本语言的灵活性,微软的一些漏洞缓解机制如ASLR、DEP等相继被绕过,这使得微软在5月份的Office补丁中做出了较为激进的修复措施,直接禁止了EPSIMP32.FLT的加载,也就是说,Office不再支持EPS图片格式,一劳永逸地杜绝了所有的EPS漏洞。
3.5、 LNK漏洞(CVE-2017-8464)
2017年6 月 13 日,微软在其官方网站发布紧急公告,曝光了LNK文件的远程代码执行漏洞——CVE-2017-8464(LNK文件(快捷方式)远程代码执行漏洞),攻击者可以通过U盘、文件共享、邮件等方式将恶意LNK和对应的恶意二进制文件传播给用户,以触发漏洞或执行相应的恶意二进制文件,最终获取电脑控制权限。
LNK漏洞(CVE-2017-8464)漏洞影响覆盖了Windows 10、7、 8.1、 8、 Vista和 RT 8. 1 六个版本,以及服务器系统Windows Server 2016、2012、 2008 三个版本;攻击者可以通过可移动驱动器(U盘)或远程共享等方式将包含恶意LNK文件和与之相关的恶意二进制文件传播给用户,当用户通过Windows资源管理器或任何能够解析LNK文件的程序打开恶意的LNK文件时,与之关联的恶意二进制代码就会在目标系统上执行。
2017年7月,rapid7在metasploit-framework项目中提交了关于该漏洞的利用(exploit),通过这个利用可以快速的构造出稳定的漏洞利用恶意程序,腾讯御见威胁情报中心再次对漏洞严重等级进行了预警通告,并在之后多次捕获到了利用CVE-2017-8464漏洞进行传播的病毒木马,其中2017年12月捕获到的一例攻击样本尤为典型,较之前利用U盘的传播方式而言,其漏洞攻击通过网络共享路径传播,影响范围更大。用户若不慎访问黑客构造的网络共享文件夹,无需任何操作便会中招,被植入挖矿程序,成为不法分子赚黑钱的工具。
3.6、 一个换行符引发的.NET Framework 漏洞(CVE-2017-8759)
CVE-2017-8759本质上是一个.Net Framework漏洞,在.net库中的SOAP WSDL解析模块IsValidUrl函数没有正确处理包含回车换行符的情况,导致调用者函数PrintClientProxy存在代码注入执行漏。这个漏洞影响所有主流的.NET Framework版本。现在主流的windows 7、windows 10等操作系统中都默认安装了.NET Framework,任何使用SOAP服务的软件都能通过.NET Framework触发,当然它也可以集成到Office文档中,用户只要双击打开Office文档,无需其他操作,即可触发该漏洞,实现任意代码执行。
微软在9月份的补丁中修改了WsdlParser.IsValidUrl()函数,它循环遍历location中指定的每一个字符,对于换行符这样的特殊符号,不会输出它,对于不是数字也不是字母的字符,打印成\u****十六进制形式输出。这样就有效避免了最终生成的代码中出现换行符的情况,也确保了注释符//能注释掉location中指定的内容。
3.7、 跨平台的CPU特性漏洞Meltdown(CVE-2017-5754) Spectre(CVE-2017-5753/CVE-2017-5715)
2018年1月4日,国外安全研究机构公布了两组CPU漏洞:
Meltdown(熔断),对应漏洞CVE-2017-5754
Spectre(幽灵),对应漏洞CVE-2017-5753/CVE-2017-5715
利用Meltdown漏洞,低权限用户可以访问内核的内容,获取本地操作系统底层的信息;利用Spectre漏洞, 当用户通过浏览器访问了包含恶意利用的网站时,账号、密码、邮箱等个人隐私信息可能会被泄漏。
漏洞源于CPU厂商为了提高CPU性能而引入的新特性。不管是台式机、笔记本电脑、云服务器以及智能手机等硬件产品,还是Windows、Linux、Mac OS、IOS、Android等操作系统,都受到这两个CPU漏洞的影响。
2018年1月4日各大操作系统、软件厂商推出了缓解措施,微软也在当日紧急发布了针对windows系统的补丁修复程序。但是由于此次补丁修改很大,补丁程序本身还存在诸多问题,比如:更新可能会让部分系统在特定场景下性能下降;更新可能会和部分软件(安全软件,游戏等)不兼容引发系统蓝屏等。
四、 漏洞攻击的防护
4.1、 及时修复系统环境中存在的安全漏洞
防范漏洞攻击最直接有效的方法就是修复系统环境中存在的安全漏洞。
4.2、 保持腾讯电脑管家等安全软件的正常开启
正常开启腾讯电脑管家等安全软件,可以有效拦截利用漏洞触发传播的病毒,有效弥补漏洞修复的不足。
另外,腾讯电脑管家针对无法安装补丁的Office用户,推出独有的“女娲石”防御技术,为漏洞利用攻击树立坚固的技术壁垒。
4.3、 培养良好的计算机使用习惯
a) 提高计算机网络安全意识
b) 不要轻易下载不明软件程序
c) 不要轻易打开不明邮件夹带的可疑附件
d) 及时备份重要的数据文件
五、 总结和展望
2017年随着各类型高危漏洞的曝光,由漏洞攻击引起的数字加密货币勒索事件和APT攻击事件层出不穷,漏洞威胁全球化态势蔓延。可以预测,2018年高危漏洞或将呈现持续增长态势,由漏洞引发的各种威胁风险也将持续增加,网络安全形势仍然严峻:
5.1、 Office漏洞持续发酵
腾讯御见威胁情报中心首先发现的公式编辑器跨年漏洞(CVE-2018-0802)及其漏洞攻击(“黑凤梨”APT攻击),打开了2018年的开年之门,利用Office漏洞进行钓鱼邮件传播或将在2018年持续发酵。以国内Office用户电脑为例,仍有部分电脑系统环境无法(或没有)正常修复已知的Office安全漏洞,极易受漏洞攻击。
5.2、 漏洞利用将成为数字加密货币木马的重要传播途径
2017年数字加密货币引发了勒索、盗窃、非法挖矿等网络安全威胁热潮。随着数字加密货币价格持续上涨,2018年由数字加密货币而起的犯罪活动或将呈现高发态势,网络安全形势不容乐观。
a) 漏洞利用、外挂程序、网页挂马、弱口令等都是挖矿木马的主要传播途径。其中漏洞利用因其传播速度快、影响面广,仍然会是不法分子获取数字加密货币的重要手段。
b) 不法黑客或将瞄准团体以及持大量数字加密货币用户发起APT攻击;针对普通网民,黑客更倾向在其电脑植入挖矿木马。发起APT攻击及植入木马的最有效的方法仍然是漏洞利用。