Cyber-Attackers Speeding Up Exploits of Known Software Flaws

Posted at 30 October 2014
Cyber-Attackers Speeding Up Exploits of Known Software Flaws
By Robert Lemos

2014年10月30日
发现安全漏洞，是否应该公开披露？

越来越多的数据表明，关于安全漏洞的公开披露与漏洞被广泛利用之间的时间正在缩短。
最近的事件突显出，攻击者快速利用公共漏洞资讯，留给防范者及时修复软件漏洞的时间更少了。
10月29日，著名的内容管理系统Drupal的安全团队警告用户称，于10月15日披露的SQL注入漏洞已被攻击者迅速利用，那些尚未修复漏洞的网站应当假设自己已经系统受损了。
10月初，安全公司发出警告称，多个攻击者开始利用一个前所未知的、最先在所谓的“沙虫”活动中使用的Windows漏洞。沙虫漏洞将侵入开发工具包并被广泛使用。
Symantec安全应急部门的主管Kevin Haley告诉eWEEK，一旦攻击事件被广泛宣传变得众所周知，许多其他组织就开始关注它，开发工具包的售卖商就把它加入自己的工具包，然后每个购买了该工具包的人都可以使用它。
虽然许多漏洞研究人员已经指出了漏洞的公开披露和开发利用之间表面上的关系，但这种联系只在偶然情况下被研究。在2012年发表的一篇文章中，Symantec公司的研究人员指出，一个零日漏洞的详情被公开披露后不久，利用该安全漏洞攻击的攻击者数量在某些情况下可达100000倍。研究人员总结指出，零日漏洞的公开披露导致了终端用户面临重大风险。
在一项关于Stuxnet网络攻击伊拉克核能力事件中使用的漏洞的研究中，来自Lancope公司和微软公司的研究人员找到了相似的联系。根据Virus Bulletin在2013年发表的论文显示，Stuxnet利用一个处理图标的LNK文件零日漏洞进行了一系列其他攻击。
微软公司的Holly Stewart和Lancope公司的Tom Cross在文章中指出，攻击者所使用的漏洞成功的吸引了其他的攻击者。知道一个特定的漏洞存在于目标“领域”，将导致攻击者值得他们耗费时间和精力去调查该漏洞，并进行功能性利用或与自己的工具包合成功能。
而远程攻击是最常见的的攻击方式，如最近在Linux和Unix系统常见的在文字界面的Drupal漏洞和ShellShock漏洞。基于文件的常见应用程序，如Microsoft的Office软件，Oracle的Java软件或Adobe的Acrobat软件依然是主要的威胁。
这个问题不容易解决。一些安全专家基于潜在的漏洞利用的可能性优先考虑修补漏洞。其他专家调配阻止恶意代码的软件，如虚拟补丁，用以在用户升级修补软件漏洞前防止被利用。
然而，Symantec公司的Haley表示，这一直是攻击者和防卫者间的竞赛。“漏洞工具利用者竞先取得最新的漏洞利用”他说，“这是一场在他们的软件中获取最新技术的比赛。”

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)