微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性
2024-12-3 08:2:0 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

Part.1

引  言

随着网络安全威胁的不断升级,企业面临的攻击手段日益复杂,漏洞利用成为最常见的入侵途径之一。今年7月9日,微软披露了一个超高危漏洞CVE-2024-38077,其CVSS评分高达9.8,研究人员将其命名为 MadLicense(狂躁许可)。根据有关研究人员的说法,“狂躁许可”已存在近30年,也是多年来在 Windows 中未见过的 0-click preauth 远程代码执行(Remote Code Execution, RCE)漏洞。

“狂躁许可”具有极高的危险性,因为它允许攻击者无需用户交互(0-click)和不需要身份验证(preauth)就可以在目标系统上执行任意代码。所有启用RDL服务的Windows Server版本(2000至2025)都受“狂躁许可”的影响,特别是广泛使用远程桌面服务的企业。一旦大规模利用,就有可能对全球企业服务器构成重大威胁。

“狂躁许可”被业内人士评定为下一个“永恒之蓝”——2017年,“永恒之蓝”在几个小时内蔓延全球,感染了99个国家,受害者包括国内多个高校、大型企业与政府单位。

Part.2

“狂躁许可”解析:

堆溢出引发的远程代码执行

漏洞生成原因

“狂躁许可”漏洞是由于Windows远程桌面许可服务(RDL)中的堆溢出问题引发。攻击者通过发送超长请求,导致缓冲区溢出,从而在未认证的情况下执行任意代码。这是典型的缓冲区溢出漏洞。

漏洞攻击方式

攻击者无需任何用户交互或权限,通过发送特制请求即可触发该漏洞,执行恶意代码。利用该漏洞,攻击者可以远程控制服务器,窃取数据、安装勒索软件,甚至传播蠕虫病毒,攻击难度低且危害极大。

Part.3

远程代码执行漏洞带来的挑战

像“狂躁许可”这类远程代码执行漏洞的危害性通常都是极高的,必须趁早发现并及时填补漏洞才能确保企业的网络安全。但一些已经装备了漏洞扫描产品的企业现在放松警惕可能还为时尚早,因为我们要知道,传统的漏洞扫描工具是无法检测远程代码执行漏洞的。

在说明原因前,我们先了解一下传统漏洞扫描工具检测漏洞的原理:漏扫工具会向目标系统发送一系列特定的命令或请求,分析这些命令执行后系统返回的输出内容,查找输出中是否存在与已知漏洞相关的特定模式或信息,以此判断是否存在某种漏洞。

换而言之,传统漏洞扫描工具要依赖于命令执行后输出的特定内容来确认漏洞的存在。乍一听没什么问题,但也暴露了传统漏扫工具的短板——因为不是所有的漏洞都有内容回显,就比如上文提到的远程代码执行漏洞,还常见的SSRF(服务器端请求伪造)漏洞、XSS(跨站脚本攻击)漏洞、以及Fastjson反序列化漏洞等等。传统漏扫工具可以执行这些无回显漏洞的命令,但不会收到任何反馈信息,也就无法通过回显来验证是否成功利用了漏洞。

传统漏洞扫描工具无法检测这些漏洞,意味着即使企业装备了这些漏扫工具,攻击者依旧可以在不被察觉的情况下,利用这些漏洞对企业的系统进行攻击。他们可以通过远程代码执行漏洞植入恶意软件,窃取企业的敏感信息,或者对企业的系统进行破坏。而SSRF漏洞则可能被利用来攻击企业内网的其他系统,甚至可能进一步导致数据泄露等严重后果。XSS漏洞则可能被用来在用户不知情的情况下,执行恶意脚本,窃取用户的个人信息或者进行其他恶意操作。

Part.4

传统漏扫工具的不足日益显露

除了无法检测无回显漏洞,传统漏洞扫描工具还存在其它的明显不足之处,为众多企业针对漏洞的安全防护带来了极大的困扰。

漏洞库覆盖面狭隘

传统漏洞扫描产品的漏洞库或许能满足普通小型互联网企业的防护需求,但在面对配备了多样化工控设备、且对安全防护要求更高的工业控制系统环境时,其局限性便显露无遗。传统漏扫产品所内置的漏洞库,往往难以全面覆盖到工控领域的特定漏洞,尤其是针对如SCADA(监控控制与数据采集)系统、DCS(分布式控制系统)等关键基础设施的漏洞,更是存在显著的空白。

这一缺陷无疑为黑客攻击提供了可乘之机。黑客可以利用传统漏扫工具无法识别防范的工控漏洞入侵工控企业的内部网络,进而对工业流程实施操控、窃取敏感数据,造成生产中断、环境污染或基础设施损坏等严重事故,甚至可以对整个国家造成巨大影响。

就比如2015年的乌克兰电力事件,攻击者攻击了多家电力公司的计算机系统,包括其SCADA系统,成功瘫痪了多个变电站,导致乌克兰部分地区停电数小时,不仅影响了居民的正常生活,严重扰乱了社会秩序,还对乌克兰的经济造成了重大损失。

漏洞治理不闭环

传统漏洞扫描产品通常只关注漏洞检测本身,缺乏完整的技术解决方案链条。一个全面的漏洞防护体系不仅需要漏洞发现,还需考虑漏洞验证和后续的补丁或修复策略。而传统工具往往在检测到漏洞后,提供的解决方案较为局限,缺乏深度分析,没有修复建议,也无法提供验证漏洞的方法。这种不完整的技术方案容易导致误报和漏报,并不能为企业提供足够的后续指导,导致漏洞得不到及时修复或排除。

Part.5

威努特工控漏扫:

无回显漏洞的克星与全面防护方案

为弥补传统漏洞扫描产品的不足、解决企业面对的漏洞安全威胁现状,威努特推出了威努特工控漏洞扫描平台。

威努特工控漏洞扫描平台是集成了多种安全功能的漏洞检测系统,旨在帮助用户全面、精准地发现信息系统中存在的各种脆弱性问题,能通过自动化、全局性的网络漏洞管理、配置核查等功能,为用户提供专业、有效的漏洞分析和修补建议,以降低安全风险和经济风险。相较于传统的漏洞扫描工具,威努特工控漏洞扫描平台在诸多方面都具备明显的优势。

01

 反连平台检测无回显漏洞

为有效弥补传统漏洞扫描工具的不足,威努特工控漏洞扫描平台专门内置了反连平台,用于检测无回显漏洞。

反连平台通过一种“反向连接”的机制来检测无回显漏洞。当无回显漏洞被利用时,虽然攻击者无法直接看到回显结果,但反连平台会生成一个外部的监听地址,并将其注入到漏洞利用过程中。攻击者通过漏洞执行命令后,受害系统会尝试与这个监听地址进行连接,反连平台能够捕捉到这种反向连接行为。

通过这种机制,即使漏洞本身不提供任何回显,反连平台依然可以通过网络流量中的反向连接,验证漏洞是否被成功利用。因此,威努特工控漏洞扫描平台能更全面、精确地检测出传统漏洞扫描工具无法检测的远程代码执行漏洞、SSRF漏洞等类型的无回显漏洞。

02

 丰富的漏洞库与多维度的漏洞扫描

威努特作为工控安全领域的专家,为威努特工控漏洞扫描平台配备了丰富且强大的漏洞库,使其能够识别超过31万条的安全漏洞,涵盖了广泛的工业与IT领域。其中,针对工业控制系统的漏洞数量超过6000条,支持识别的工控设备厂商多达五十余家。凭借这一强大的漏洞数据库,威努特工控漏洞扫描平台能够为用户提供全面、专业的安全保障,帮助企业发现潜在的安全风险。

除此之外,威努特工控漏洞扫描还具备多维度的漏洞扫描能力。平台不仅能够执行系统层面的漏洞扫描,还可以进行WEB应用、数据库、Docker镜像以及移动APP的漏洞扫描。这些扫描角度覆盖了从操作系统到应用层面的多种维度,确保用户可以在不同的资产和环境中识别潜在漏洞。无论是传统IT资产还是工业控制系统,威努特都能提供全面的安全评估。

通过这些多维度的扫描功能,威努特工控漏洞扫描平台为用户提供了一站式的解决方案。它帮助客户快速识别和修复系统中的漏洞隐患,优化资产安全管理流程,并显著提升系统的整体安全防护水平。这样,企业不仅能够更加高效地管理安全风险,还能更快速地应对复杂的安全威胁,为网络和工控系统提供更强的安全保障。

03

 完整的漏洞治理方案

传统漏洞扫描工具普遍存在的误报率高、技术方案不完整等问题,威努特工控漏洞扫描平台也一一解决。威努特工控漏洞扫描平台具备从“资产识别”到“漏洞检测”再到“漏洞验证”这一完整的扫描链条,通过优化每个环节的能力来提升整体扫描效果。

首先,在资产识别阶段,威努特工控漏洞扫描平台能准确识别多类资产及其属性,为后续的漏洞检测打下坚实基础。其次,漏洞检测环节能结合丰富的漏洞库与多样的漏洞扫描方式,提升漏洞发现的准确性。最后,在漏洞验证环节,威努特工控漏洞扫描平台能通过验证机制,确认发现的漏洞是否真实存在,也能在用户打上补丁后验证漏洞是否已被真正修补。

通过这种全面的链条优化,威努特工控漏洞扫描平台能够有效减少漏报和误报的发生,从而提升整体的扫描能力。这种系统化的方法不仅增强了检测的精准性,也为客户提供了更为可靠的安全防护,确保在复杂的网络环境中,企业能够及时发现并应对潜在的安全威胁。

Part.6

结论与展望

随着近几年各大厂商披露的关键安全漏洞越来越多,我们不得不重视网络安全形势的严峻性。企业的方方面面都易受到黑客漏洞利用攻击的威胁,漏洞攻击一旦发生,将会对企业的资产、名誉与隐私造成严重危害。面对层出不穷的各种类型的无回显漏洞,传统漏洞扫描产品已显得力不从心,而威努特工控漏洞扫描平台能从企业的角度出发,为企业提供全面、精准且高效的扫描方案,帮助客户解决资产中的漏洞隐患,更高、更快地提高系统的安全防护水平,为企业的数字化转型保驾护航。


文章来源: https://mp.weixin.qq.com/s?__biz=MzAwNTgyODU3NQ==&mid=2651129390&idx=1&sn=81a9a6bbaa7c79665824a969c6c5535b&chksm=80e71c9eb790958862c09deb7147a65e9781d729aa3e4e14f46a847da9d800bb3b57a0da1a7e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh