查看: 5885|回复: 20
收起左侧

[资讯] 2014 年截至目前為止趨勢科技已發現 14 個重大漏洞

[复制链接]
尘梦幽然
发表于 2014-10-3 16:04:25 | 显示全部楼层 |阅读模式
本帖最后由 尘梦幽然 于 2014-10-3 16:53 编辑

鎖定APT攻擊/目標攻擊經常利用漏洞來暗中感染電腦系統,這類攻擊不一定會利用新發現或零時差的漏洞,例如 Internet Explorer 的 CVE-2013-2551 漏洞就是一個在 2014 年仍受到攻擊的漏洞。

儘管如此,零時差攻擊依然是一項嚴重威脅,因為它們會讓所有人都措手不及,包括資訊安全廠商在內。零時差漏洞正是利用這段防護空窗期,因此即使是勤勞的使用者和系統管理員也不免會暴露於威脅當中。

防護研究

趨勢科技的產品內含一些可解決這類問題的技術,包括瀏覽器漏洞防護、文件漏洞防護以及虛擬修補。這些技術都已整合到我們的消費端及企業級產品當中。

此外,我們也利用這些產品所回報的漏洞與漏洞攻擊訊息來建立一些經驗法則,進而防範已修補的漏洞和零時差漏洞。這樣的作法已展現優良成效。2010 年,一些利用 IE 漏洞來攻擊 Google (CVE-2010-0249) 的惡意程式樣本早在漏洞被揭露之前數星期前就被我們預先攔截。其他類似的案例還有利用 CVE-2013-5990、CVE-2013-3346、CVE-2014-0496 以及 CVE-2014-1761 等漏洞的攻擊。

發掘漏洞

趨勢科技投入了大量的人力和資源來發掘漏洞以及相關的零時差攻擊,這方面也獲得了不少成果。2014 年我們在各種應用程式當中總共發現了 14 個可能讓駭客從遠端執行程式碼的漏洞。其中十個是 Internet Explorer 漏洞,兩個是 Adobe Flash Player 漏洞,另外  Adobe Reader/Acrobat 和  Java 也各有一個。

圖 1:2014 年發現的漏洞。

我們在 2014 年發現的 14 個重大漏洞以及受影響的軟體 (皆已通報相關廠商) 分別為:

CVE-2014-0290 – Internet Explorer
CVE-2014-0417 – Java
CVE-2014-0525 – Adobe Acrobat/Reader
CVE-2014-0536 – Adobe Flash
CVE-2014-0559 – Adobe Flash
CVE-2014-1753 – Internet Explorer
CVE-2014-1772 – Internet Explorer
CVE-2014-1782 – Internet Explorer
CVE-2014-1804 – Internet Explorer
CVE-2014-2768 – Internet Explorer
CVE-2014-4057 – Internet Explorer
CVE-2014-4095 – Internet Explorer
CVE-2014-4097 – Internet Explorer
CVE-2014-4105 – Internet Explorer
我們主要是分析從鎖定APT攻擊/目標攻擊受害者所蒐集到的樣本,因為這些樣本更能反應威脅情勢的真實狀況。這些樣本來源廣泛,包括:誘補網路、產品回報、使用者送審的檔案等等。我們相信,這些樣本所使用的都是駭客正在使用或者最可能使用的漏洞。

趨勢科技透過多種方法來發掘潛在的漏洞和漏洞攻擊,包括:經驗法則掃瞄、機器自我學習以及沙盒模擬分析 (Sandboxing)。我們的自動化流程每日可處理數十萬個樣本,其中只有數十個樣本必須再經過手動分析。

如同其他研究人員一樣,我們也會利用靜態分析、輸入資料錯誤測試 (fuzzing)、滲透測試等方法來主動發掘漏洞。我們會在這些漏洞遭駭客利用之前預先通報 Microsoft、Adobe 和 Oracle 等廠商。

我們正是藉由這樣的流程來發現那些容易遭到攻擊的熱門軟體漏洞。我們也和相關廠商密切合作,協助他們修補我們發現的漏洞。正因這些努力,趨勢科技才能在 2014 年寫下輝煌的記錄,發現許多知名 Windows 應用程式的漏洞。

常見的漏洞威脅

不同應用程式在不同時期會流行不同類型的漏洞。這是因為駭客會選擇當時較能穩定獲得成果的漏洞。

例如,趨勢科技今年所發現的 Internet Explorer 漏洞大多是「使用已釋放的記憶體」(Use After Free,簡稱 UAF) 漏洞。Microsoft 今年發布了多次安全更新來解決 UAF 漏洞,包括 CVE-2014-0322 和 CVE-2014-1776 零時差漏洞。

像 UAF 這樣的漏洞或許不容易根除,原因包括:

當開發人員使用 C/C++ 來撰寫程式時較容易犯錯。
文件物件模型 (Document Object Model,簡稱 DOM) 第 1 到第 4 層是由複雜的元件和邏輯所構成,而 UAF 漏洞通常發生在非同步的處理程序 (process) 當中。同樣的問題也會出現在 Google Chrome 和 Mozilla Firefox。
Internet Explorer 當中含有一些非公開的 (private) 的 DOM 元件 (例如 VML),使得程式碼更加複雜,問題也更嚴重。
Microsoft 提供了向下相容性,當新舊程式引擎搭配在一起時,安全性就會大打折扣 (因為舊的並未包含安全性更新)。
所幸,Microsoft 導入了兩種解決方法:隔離式 Heap 記憶體和延後釋放,這兩種方法可讓歹徒較難利用 UAF 漏洞。

不過,Flash Player 卻存在著一個超出存取範圍的問題。它的程式碼當中缺乏適當的範圍檢查,尤其是某些複雜邏輯背後的相關程式碼。我們發現兩個與此問題相關的漏洞。Flash 在四月出現的零時差漏洞攻擊 (CVE-2014-0515) 也是利用類似的弱點。

重複利用的漏洞攻擊

透過程式碼的重複利用,駭客現在能比以往更快開發出漏洞攻擊程式。一旦漏洞攻擊程式開發到一個穩定的狀態,駭客就會建立一個程式範本。而該範本將包含所有從遠端執行程式碼的步驟,以及避開資料執行防止 (DEP)、位址空間配置隨機化 (ASLR) 等安全機制的方法。

DEP 可防止電腦從非執行碼記憶體區塊執行程式 (包括惡意程式)。ASLR 則是可以將記憶體區塊的排列方式隨機化,讓歹徒更難猜測確切位置。

由於程式碼的重複利用,一旦出現類似的新漏洞,歹徒就能迅速針對新的漏洞開發出新的攻擊程式,因為只要修改少量的程式來確保相關系統登錄在漏洞攻擊時滿足預期的條件即可。

以下我們用 CVE-2014-0322 和 CVE-2014-1776 為範例來說明,這兩個漏洞都屬於 UAF 漏洞,針對這兩個漏洞的攻擊程式範本基本上有四個步驟:

利用 Flash ActionScript 將程式碼塞入 Heap 記憶體,如此一來就能透過該漏洞以及兩個向量 (vector) 來存取絕大多數的記憶體空間。
為了避開 ASLR,搜尋 ZwProtectVirtualMemory 的位址,然後用該位址來建立一段返回指標程式碼 (return-oriented programming,ROP),這樣就能避開漏洞防範機制。
修改 media.Sound 的 vtable 指向 ROP 程式碼,如此就能呼叫其虛擬涵式 (virtual function)。接著,將 shellcode 的權限改成 RWX,如此就能避開 DEP 機制。
返回 shellcode – 此時駭客就能執行任意的程式碼。
漏洞攻擊的未來發展

前面提過,今年駭客主要都鎖定在發掘 Internet Explorer 和 Flash Player 的漏洞。我們的研究發現也支持這項說法,今年上半年尤其以 UAF 漏洞為主。

就在 Microsoft 推出兩項解決方法不久,UAF 相關的漏洞攻擊就不再是個嚴重問題。即使我們還是會看到一些 UAF 漏洞,但卻再也不能利用舊的方法來發動攻擊。儘管目前已有解決方案,但我們預料,一旦這些機制又再度被破解,未來 UAF 漏洞攻擊還是有機會再度流行,或許會隨著明年新版的 Internet Explorer 發表一起現身也說不定。

我們認為,無可避免地,駭客會不斷利用新的方法或新的漏洞。我們也看到歹徒改用 UAF 以外的其他類型漏洞,例如超出存取範圍以及資料類型混淆所造成的漏洞。

在躲避安全機制方面也是同樣的情況。今日,駭客已有辦法避開 DEP 和 ASLR,而且研究顯示,就連較新的一些機制也已被破解。例如,在某些特殊的條件下,即使是「延後釋放」的物件記憶體空間也可能立即被釋放。要刻意達到這樣的條件只是變得較為困難,並非全然不可能。

建立一個資訊安全生態體系

趨勢科技將持續投入漏洞與漏洞攻擊的研究。不過我們很清楚,只將我們的研究成果運用到我們自己的產品當中是不夠的。我們必須建立一個生態體系來防範零時差攻擊,因為越來越多的鎖定目標攻擊都利用這種漏洞。我們不應僅止於攔截這類威脅,使用者和廠商都應具備相關的知識,才能讓每一個人都免於這些威脅。

在這個目標達成之前,一般使用者該做些什麼呢?使用者應該確保自己的軟體隨時保持更新,盡可能減少漏洞的存在,也確保自己擁有最新的漏洞防護。正如我們先前提到,我們研究將直接用於為客戶提供更好的防護。

尤其,企業應看看我們的 Deep Discovery產品,因為這是專為發掘鎖定目標攻擊而設計。其經驗式掃瞄與沙盒模擬分析 (sandboxing) 在發掘未知威脅方面非常迅速有效,此外,Deep Discovery也會利用我們研究所發現的知識來提供最完整的經驗式漏洞偵測。

◎原文出處:http://blog.trendmicro.com/trend ... ies-in-2014-so-far/作者:Weimin Wu (威脅分析師)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
旷月108
发表于 2014-10-3 16:25:28 | 显示全部楼层
这文一般都是 Sammi888 发的啊~

紧盯Adobe和Oracle绝对是致富之道啊...
尘梦幽然
 楼主| 发表于 2014-10-3 16:26:49 | 显示全部楼层
旷月108 发表于 2014-10-3 16:25
这文一般都是 Sammi888 发的啊~

紧盯Adobe和Oracle绝对是致富之道啊...

sammi888不会发这个的、
因为这个文是台湾趋势blog的。。
derek2005
发表于 2014-10-3 16:54:17 | 显示全部楼层
samimi好像是台湾的
尘梦幽然
 楼主| 发表于 2014-10-3 17:00:51 | 显示全部楼层
derek2005 发表于 2014-10-3 16:54
samimi好像是台湾的

尼玛那为什么他只发简体中文版的爱趋势blog?
另外,我一直百思不得其解,一个厂商官人头像居然是DNF!我可以猜他是棒子么。。
derek2005
发表于 2014-10-3 17:08:08 | 显示全部楼层
尘梦幽然 发表于 2014-10-3 17:00
尼玛那为什么他只发简体中文版的爱趋势blog?
另外,我一直百思不得其解,一个厂商官人头像居然是 ...

可以,他似乎是联系台湾和大陆事宜的,反正不负责具体事务,似乎如此

安心WD了,win10真心不错,速度快很多,尤其是IE
清道夫900
发表于 2014-10-3 17:36:10 | 显示全部楼层
derek2005 发表于 2014-10-3 17:08
可以,他似乎是联系台湾和大陆事宜的,反正不负责具体事务,似乎如此

安心WD了,win10真心不错,速度 ...

请问现在  WIN10  TP版本以后能转正吗?
清道夫900
发表于 2014-10-3 17:37:11 | 显示全部楼层
尘梦幽然 发表于 2014-10-3 16:26
sammi888不会发这个的、
因为这个文是台湾趋势blog的。。

其实你不是搬运工,你是自我理疗师。

看完之后,安全感值是不是瞬间满血?
Miostartos
发表于 2014-10-3 17:41:20 | 显示全部楼层
清道夫900 发表于 2014-10-3 17:36
请问现在  WIN10  TP版本以后能转正吗?

大概是不行
参见7,8的技术预览版
derek2005
发表于 2014-10-3 17:47:21 | 显示全部楼层
清道夫900 发表于 2014-10-3 17:36
请问现在  WIN10  TP版本以后能转正吗?

肯定不行,趋势估计马上会发布有关TP10的测试版了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 05:30 , Processed in 0.114884 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表