Microsoft, Adobe Exploits

Breadcrumbs

You can’t possibly patch all CVEs, 所以专注于那些骗子愿意花钱的利用, 正如一项关于地下开采市场的研究所追踪到的.

一项对网络犯罪论坛地下市场长达一年的研究表明,骗子们对微软漏洞垂涎三尺, 哪些是最受欢迎和最畅销的利用.

根据研究人员(见下图),微软产品的请求占到了47%, compared with, say, internet of things (IoT) exploits, which only accounted for 5 percent.

利用市场正在适应网络骗子对微软产品的渴望, according to Trend Micro. 第二个数据点(见下表)显示61%的销售漏洞针对微软产品, including Office, Windows, Internet Explorer和Microsoft远程桌面协议(RDP).

No surprise there. Flashpoint研究人员还在12月报告了RDP服务器访问的价格 has been surging.

这项研究在周一举行的2021年全虚拟RSA大会上公布, 趋势科技高级研究员Mayra Rosario Fuentes. In her session, titled 来自地下的故事:脆弱性武器化生命周期, 富恩特斯说,这项研究在一年多的时间里跟踪了600多个地下论坛出售和请求的exploit.

研究人员发现,威胁行为者愿意为攻击付出的平均价格是2美元,000. The crooks are going after fresh, tender new vulnerabilities, 在他们的愿望清单上,52%的漏洞使用时间不到2年:这个年龄段的人占了销售漏洞的54%.

Oldies But Goodies Are Still Hot-Hot-Hot

Older vulnerabilities are still in demand, 尽管如此:在地下出售的exploit中有22%是3年以上的历史, according to Fuentes. 最古老的弱点是完全的关节炎,可以追溯到1999年.

Of the “outdated” exploits being sold, 45 percent were Microsoft-flavored, 第二个吸引骗子的是Adobe漏洞. 富恩特斯指出,修补一个面向互联网的系统的平均时间是71天:这对攻击者造成一些破坏来说是相当长的时间.

You can see one example of an exploit request below, 潜在买家想从哪里下手 CVE-2019-1151 -微软图形漏洞的远程代码执行(RCE).

Another request, posted on Dec. 23, 2020, 正在寻找Apache Web Server中的“一个潜在的1天RCE漏洞”:这不是一个令人惊讶的发现吗, given that the RiskSense Spotlight Report 发现WordPress和Apache Struts web框架是 most-targeted by cybercriminals in 2019.

趋势科技的研究人员发现,Office和Adobe漏洞在英语论坛中最为常见. 截至上周,全球领先的PDF阅读器Adobe Acrobat仍处于领先地位 under active attack 在一个可能导致RCE的漏洞被利用之后. 那次攻击同时影响了Windows和macOS系统——Windows是攻击者首选的攻击点之一.

Lifecycle of an Exploit

和大多数市场一样,剥削市场既有买家也有卖家. 在这样一个“待售”的宣传中,卖家提供了两个严重等级为7的cve.5, for the price of $1,000. Another ad offered four CVEs for $30,000 USD, including a loader script, 通过重新检查反病毒检测来确保可执行的恶意软件还没有被检测到,不会被阻止, among other services.

犯罪分子开发出一种exploit后,下一步就是出售它. 在它被公开之后,一个弱点就进入了公开披露的阶段. Next, the vendor patches the vulnerability. 最后,这个弱点有两条路:如果修补好了,那就是生命的终结. If not, the exploit’s still there, 等待着被购买并释放那些还没有修复的不幸受害者.

富恩特斯给出了几个案例研究来说明生命周期. 下面是描述其中之一的时间轴:CVE-2020-9054的8个月生命周期:XSS网络犯罪论坛上出售的一个漏洞,售价20美元,000 in February 2020, 被网络安全记者布莱恩·克雷布斯写进了文章, 被微软于2020年3月公开披露并修补, and wound up being exploited by a botnet a month later. That botnet, a variant of the Mirai botnet 名为Mukashi,目标是Zyxel网络连接存储(NAS)设备, 允许威胁行为者远程入侵和控制设备.

Five months after it was patched, in August 2020, another forum post requested an exploit, offering the bargain basement payment of $2,000: a tenth of the original exploit.

Where to Start When You Can’t Patch ‘Em All

“你不可能每年给所有的cve打补丁,”富恩特斯说. So how do you prioritize?

她建议在制定补丁计划时考虑到漏洞利用的可取性. 不要仅仅根据漏洞的严重性来选择战斗. 相反,要考虑骗子想用什么,他们能买什么. 请记住,微软和Adobe利用漏洞是热门项目:“认为你可以修补所有东西是不现实的,” Fuentes noted. “专注于黑客喜欢关注的东西:微软和Adobe.”

Also bear in mind that virtual patching -一个安全策略实施层,通过分析事务和拦截传输中的攻击来防止恶意流量到达web应用程序,从而防止利用已知的漏洞, 这一切都无需花时间修改应用程序本身的实际源代码——可以换来额外的时间, she recommended.

在“首先修补什么”的等式中,另一个因素是脆弱性价格会随着时间的推移而下降, 但有价值的开发仍然有价值,时间“比大多数人预期的要长”,” Fuentes pointed out. 修补过去流行的漏洞可能比修补今天的关键漏洞更重要,” she said.