．2018 年安全漏洞統計出爐 微軟 Office 成頭號攻擊目標

．2018 年安全漏洞統計出爐微軟 Office 成頭號攻擊目標

Security vulnerability statistics released in 2018 Microsoft Office became the number one target

http://www.arcran.com/tw/

來源：至顶网

隨著網路釣魚攻擊（包括操縱Word與Excel等Officer文件附件的方法）不斷增加，過去一年當中網路犯罪分子，在惡意活動中，對微軟Office漏洞的大量利用，自然不足為奇。

根據Recorded Future公司發佈的一項最新研究顯示，2018年全球範圍內，利用率最高的十大安全漏洞當中，有八項源自Office。在餘下的兩項中，一項為Adobe Flash漏洞（第二位），另一項為Android漏洞（排名第十）。

在這份榜單中，名列第一的是一項Windows遠端代碼執行漏洞，其已經被列入多種漏洞利用工具包，包括Fallout、KaiXin、LCG Kit、Magnitude、RIG、Trickbot以及Underminer等等。

Google 公布常見帳號竊取手法，網路釣魚比駭客入侵更嚴重- 電腦王阿達

Recorded Future公司威脅情報分析師Alan Liska指出，這種狀況可謂是自然發展的結果。因為如今網路犯罪分子，正逐步轉向技術門檻更低、實施效率更高的網路釣魚攻擊，而對Web漏洞，利用工具包的使用，必然引發這樣的整體趨勢。

Liska表示，不再將目光投向瀏覽器漏洞，利用的主要原因，在於目前開發人員，已經能夠更好地保護，並實施瀏覽器軟體更新。在此次榜單的前十位漏洞當中，僅有三項與瀏覽器相關，且主要涉及IE瀏覽器的陳舊版本。

這意味著仍有不少陳舊系統，在運行著未經修復的網路瀏覽器。

與此同時，根據此項研究對代碼庫、暗網論壇/帖子，以及其它相關元數據的分析，2018年年內僅新增5種新型漏洞，利用工具包——這一數字遠低於2017年的10種，以及2016年的62種。在此之中，又只有Fallout與LCG Kit這兩種新型漏洞，利用工具包，進入2018年安全榜單的前十位置。

雖然Recorded Future公司並沒有將民族國家集團，單獨列入此份榜單，但他們在研究當中發現如今的網路犯罪分子，與民族國家支持的駭客，正在顛覆老派攻擊者的思路：他們更傾向於使用被盜的用戶憑證，包括遠端桌面協議（簡稱RDP）以及VPN登錄或憑證填充攻擊，而不再像過去那樣，想辦法向受害者傳遞惡意軟體。

Liska指出，「我認為漏洞利用工具包，在數量上的減少，已經體現出這樣的趨勢。當然，還有其它一些傳統的安全漏洞，部署入口點，逐漸在駭客群體中失去吸引力。例如，很多攻擊者現在專注於利用工具，以暴力破解的方式，完成入侵，而不再硬性依賴於漏洞利用工具包，或者其它能夠竊取登錄憑證的方法。」

ThreatStop公司網路安全研究主管John Bambenek指出，「我們在威脅共享方面，投入了大量資金。但如果沒有指標可供分享，那麼除非人們願意直接分享憑證，否則也只能依靠提高密碼強度，來盡可能鞏固安全水準了。」

此外，包括零日漏洞在內的多種漏洞利用工具，如今成為民族國家的主要關注方向，這實際上標誌著零日漏洞，從網路犯罪分子向國家機器的轉型。

他解釋稱，「零日漏洞，是一種非常寶貴的資源。如果大家能夠將其出售給知識產權代理商，並獲得數百萬美元的巨額利潤時，為什麼還要將其添加至漏洞利用工具包？無論如何，犯罪分子，都迎來了大筆撈錢的好日子……而且只需要郵件列表，與郵件伺服器就能實現。」

Android基本告別前十榜單

在此次Recorded Future前十榜單當中，唯一的行動設備漏洞，來自部分Android設備內核中，存在的一項2015年本地權限，提升高危漏洞。

根據Liska的介紹，這項漏洞是第一次進入榜單，而評判標準與微軟Office基本相同：Android代表著一套，具有廣泛攻擊面的高人氣平台。當然，即使是在這同樣的開源行動系統之內，一部分Android設備，實際上也要比其它同類設備更加安全。

Liska指出，「我們在Android平台上，看到的大部分漏洞利用行為，都與應用有關——例如發佈惡意應用，或者操縱某些應用等等。不過行動設備只是當前攻擊面中的一小部分。

Sophos公司最近的一項研究發現，有10％的網路攻擊活動出現在行動設備之上，有37％於伺服器中被檢測到，而另有37％現身於網路層面。

Sophos公司首席研究科學家Chester Wisniewski表示，「我們並沒有看到大量行動入侵行為的出現。事實上，大部分重大安全事件，都跟手機設備沒什麼關聯。」

與此同時，微軟IE瀏覽器中的「Double Kill」漏洞工具包，成功佔據本輪榜單的頭把交椅——由於能夠在多個版本的IE與Windows系統上起效，因此其獲得了極高的「人氣」。

根據Liska的介紹，「其起效方式在於首先發送一個探針——一般由JavaScript編寫而成——並在瀏覽器上查詢資訊，以便盡可能多地蒐羅與受害者設備上，所安裝的操作系統、瀏覽器版本，以及補丁安裝情況相關的結果。在此之後，即可根據當前安全狀況，選擇後續攻擊方法。整個使用過程非常簡單。」

去年利用率次高的安全漏洞為CVE－2018－4878，這是一項Adobe Flash Player當中，存在的釋放後使用型缺陷。目前被囊括於多種漏洞，利用工具包當中——包括Fallout與前Nuclear工具包。Fallout還一直在傳播GandCrab勒索軟體，這種勒索軟體，正被越來越多用於，實施指向大型組織的針對性攻擊，並為攻擊帶來了相當可觀的收益。

Adobe公司計劃在2020年，徹底放棄具有「優良歷史傳統」的漏洞集散地Flash Player——此前沒完沒了的更新，仍然無法應對攻擊者們的狂轟濫炸。

具體而言，Flash一直保持著漏洞被最快利用，這一毫不光彩的紀錄。根據Liska的介紹，每次Adobe公司公開發佈，針對Flash漏洞的修復程式，平均兩天之後，該漏洞就會被攻擊者，用於入侵尚未即時更新的受害者。

此次，Recorded Future的榜單上，還出現了一種遠端訪問木馬，其指向的是漏洞CVE－2017－8570——一項Office遠端程執行漏洞。這種木馬出自Sisfader RAT之手。