美国军方智库兰德公司有位资讯学者Lillian Ablon,在今年黑帽大会中,揭露了兰德旗下资安研究团队BUSBY最新的零时差漏洞的研究成果。他们在2002年到2016年期间搜集了207个零时差漏洞,包括了微软(55个)、Linux(39个)、苹果(14个)、甲骨文(11个),以及88个来自Google、Mozilla等其他64家业者产品的零时差漏洞。
零时差漏洞的活跃时间比一般以为的时间更久,这意味着带来的影响更长久也更大。Lillian Ablon指出,这些零时差漏洞的潜伏期,最长者超过9.53年才会被外界发现,最短者也要1年半才曝光,零时差漏洞存活时间大部分落在5.39年到8.84年之间,平均每个零时差漏洞存活6.9年,而且她搜集的所有零时差漏洞,仍存活下来的约79个,占38.2%,已经遭揭露或公开的零时差漏洞约83个,占40.1%,其中遭揭露的零时差漏洞中33.3%有提供修补程式。
然而,资安公司或研究人员早期发现零时差漏洞,可针对漏洞来开发修补档,但零时差漏洞也易遭骇客利用来发动攻击,造成资料外泄或入侵内部系统来启动其他攻击,如勒索攻击或瘫痪系统,根据Lillian Ablon调查分析指出,大多数零时差漏洞在6到37天之间就会被骇客利用,其中71%零时差漏洞在一个月内被骇客开发利用,31.44%零时差漏洞在一星期内被利用,只有10%零时差漏洞超过90天,才转变成骇客利用来发动攻击的武器。
厘清企业内部所有软硬件设备情形,可减缓零时差攻击的损害
Lillian Ablon分析所有零时差漏洞发现,零时差漏洞分别有3种类型。
第一种类型零时差漏洞包括堆积缓冲区溢位(heap overflow)漏洞,以及堆叠溢位(stack overflow)漏洞,超过半数以上零时差漏洞都属于这类型,骇客经常利用这两种漏洞来攻击,造成记忆体运作错误,例如赛门铁克旗下25款资安产品存在堆积缓冲区溢位漏洞,骇客不仅可以破坏受骇电脑内的记忆体,还可以入侵公司内部网络。
第二是记忆体管理失当造成的漏洞(memory mismanagement),这类型漏洞最常发生资料外泄,以及造成Null Dereference问题。今年5月VMware的vstor2驱动程式漏洞就属这类,骇客能利用程式中的Null Dereference漏洞来发动DoS攻击。
第三是程式设计逻辑错误形成的漏洞,容易导致记忆体发生竞赛情况(race condition)、认证旁路(authentication bypass)漏洞、权限错误(privilege error),以及物件注入任意程式码(object injection)。过去,Liunx开机管理程式曾出现认证旁路漏洞,只需按28次倒退键,可以入侵任何Linux作业系统。
Lillian Ablon表示,207个零时差漏洞中有172个零时差漏洞遭骇客利用,来发动零时差攻击,而且多数零时差攻击都是在本地端和远端发动,只有少数攻击来自用户端。她也同时强调,虚拟主机与防毒软件无法减缓零时差攻击,甚至还发现7款防毒软件也有零时差漏洞。
如何更有效抵御零时差攻击呢?Lillian Ablon提出了3项侦测零时差漏洞的策略,包含分析仍大量使用旧版程式码,如工控系统、设计能够阻挡骇客发现漏洞途径的防御技术,以及系统或软件漏洞已经被骇客利用时,需要寻找更好的方式来侦测漏洞。
此外,她进一步认为,防护零时差攻击重点需要放在缓解、隔绝、究责,以及维护健全的基础设施等4个方向,例如使用者利用微软提供EMET防护工具(2017年Windows 10秋季更新改名Windows Defender Exploit Guard)减缓攻击造成的伤害、设备采取实体隔离、定期盘点软硬件与随身碟使用情况,以及保持最新版本。
而且Lillian Ablon强调,随着物联网概念的兴起,使用越来越多连网装置,形成了未来抵挡零时差攻击的更大挑战。
END
本文来源于ithome
深圳市极限网络科技有限公司专注于系统底层和网络攻防技术研究,是一家将网络安全与大数据人工智能运用相结合的信息安全运营服务商,成立至今为我国关键信息基础设施、政府部门、大中型企事业单位以及重点行业提供了全方位的网络安全解决方案以及专业的安全服务。
