漏洞利用链(也称之为漏洞链)是将好几个漏洞利用组成在一起以伤害总体目标的互联网攻击方法。与致力于单一通道点对比,互联网犯罪嫌疑人更喜欢应用他们来毁坏机器设备或系统软件,以取得很大的杀伤力或危害。
Forrester投资分析师Steve Turner表明,漏洞利用链攻击的总体目标是得到核心/根/系统软件等级的访问限制来毁坏系统软件以实行攻击主题活动。漏洞利用链容许攻击者根据应用一切正常系统服务中的漏洞,绕开诸多自我防御机制来迅速漏洞利用自身,进而融进机构的条件中。
尽管漏洞利用链攻击通常必须耗费互联网犯罪嫌疑人大量的時间、活力和专业能力,但将漏洞利用组成在一起,容许故意个人行为者实行更繁杂且无法修补的攻击,这实际在于漏洞编码序列的尺寸和复杂性。
漏洞利用链的风险
漏洞利用链给机构产生的风险将是很大的。Turner详细介绍称,漏洞利用链的实行通常产生得十分快,并且大部分机构并沒有配备恰当的对策、步骤和设备来积极主动阻拦或抵制该类危害。
Vulcan Cyber科学研究精英团队责任人Ortal Keizman表示,悲剧的实际是,IT安全性精英团队身负那样一个客观事实:几乎全部漏洞利用都利用了已经知道漏洞和漏洞利用链,而这种漏洞因为多种缘故并未获得减轻。可以说,漏洞管理方法是当下IT安全性领域面临着的一场规模性的‘打地鼠游戏’,最少56%的企业的管理欠缺迅速、规模性修补漏洞以保障其工作的工作能力。
可以有效地假定,大部分网络信息安全管理者仍在查询NIST汇报的漏洞目录或CISA已经知道利用的漏洞目录,由于她们压根沒有紧紧把握自身的风险趋势。对于此事,Keizman表示,假如没法考量风险,还何谈减少风险,假如风险优先沒有与特殊机构或部门的订制风险承受力保持一致,那麼风险优先将毫无价值。
漏洞利用链测试用例和实例
下列漏洞利用链攻击情景的实例要不已产生在现实世界中,要不是假定的(但很可能产生)。
SolarWinds攻击
现实世界中,漏洞利用链攻击的最好实例之一便是SolarWinds漏洞利用,它为大家呈现了利用好几个(必须修补的)漏洞和好几个(必须保障的)供应链管理侧门的强劲毁灭性。在这里起事情中,攻击者最先利用手机软件供应链管理的重要层开发设计了一种高級不断危害,这种重要层容许远程连接和提高私有化互联网内的权利。一旦侧门向软件工厂开启,攻击者就能保证应用定义认证(PoC)漏洞利用根据已经知道(但因为多种缘故并未获得改善的)漏洞进一步渗入总体目标系统软件。
对于直接使用移动端访问普通的网站,会因移动端宽度的限制因素,导致访问者需要左右滑动,以及放大的操作,才能的漏洞利用链
Netenrich企业总裁危害猎人John Bambenek发觉,漏洞利用链最常见于直接使用移动端访问普通的网站,会因移动端宽度的限制因素,导致访问者需要左右滑动,以及放大的操作,才能。由于手机上构架的特性,必须应用多种多样漏洞来获得root访问限制,以实行挪动恶意程序需要的实际操作。安全性企业Lookout的分析证明了这一点,该科学研究详解了多种多样Android监管专用工具。
对于电脑浏览器的漏洞利用链
对于电脑浏览器漏洞的利用链一样存有概率,Tripwire漏洞和曝露科学研究精英团队的组员Tyler Reguly发觉,攻击者可以应用钓鱼攻击电子邮箱将客户正确引导到网页页面,随后再进行“经过式”(drive-by)攻击以利用电脑浏览器漏洞。随后将他们与第二个漏洞连接以实行沙盒游戏肇事逃逸,随后是第三个漏洞以获取权限提高。
在这些情景中,攻击者期待利用漏洞在所有互联网中散播并进到特殊系统软件。Reguly填补道,“在我想起漏洞利用链时,头脑里总是会闪过一副界面:《老友记》中罗斯不断高喊‘传动轴(Pivot)’的情景。攻击者期待应用它们的漏洞利用链来建立直线轴点,以在操作系统和互联网移动。”
勒索病毒攻击者应用的漏洞利用工具箱
Turner表明,做为勒索病毒攻击者和别的攻击者团队应用的商业化漏洞利用工具箱的一部分,漏洞利用链正越来越愈来愈广泛。2个时兴的案例便是零点击漏洞利用链,客户不用做一切事儿就可以实行它;及其像ProxyLogon一样的物品,攻击者可以利用一系列漏洞来得到管理人员访问限制,以实行她们需要的所有编码。
勒索病毒机构常常应用这些方式 在自然环境中迅速站住脚,以盗取数据信息,随后敲诈勒索机构。Turner填补道,“大家很有信心地预估,攻击者将利用大家都知道的RCE漏洞(例如Log4j漏洞)建立附加的漏洞利用工具箱,将一系列漏洞利用连接在一起,进而迅速得到她们需要的系统软件/核心等级访问限制。”
漏洞利用链攻击防御力提议
谈起减少漏洞利用链攻击风险时,Reguly注重称,要记牢最关键的事情就是你可以毁坏“链”中的一切一环。一些危害很有可能早已导致,但断掉一切一环都能够阻拦进一步的潜在性危害。一个强劲而完善的网络信息安全方案可以执行合理的技术性、对策和程序流程(TTP),毁坏“链”中的各个阶段,给予较大总数的潜在性减轻或维护来抵挡每一种有可能的攻击。
假如这一点在机构中难以实现,可以思索一下“互联网破坏力链”及其可以阻挡它的点,也是有效的提议。尽管漏洞利用链很有可能令人望而却步,但假如能检验到一些物品(不论是在利用链中或是在别的攻击者个人行为中),响应者就可以掌握问题并处理它。
针对Keizman而言,正脸处理漏洞利用链必须规模性开源项目和闭源手机软件经销商间的配合勤奋。开源项目开发设计实践活动早已并将给予非常大协助,但如今恰好是商业服务和开源项目开发设计势力协同起來的黄金时间。
对于总裁网络信息安全官,Keizman适用执行根据风险的总体互联网环境卫生,而不是在每一个漏洞发生时盲目跟风地处理他们。公司务必制订对策在危害产生以前处理它,并按照自身的特殊业务流程需要开展优先级排序,不然将输了这一场赛事。
文中翻譯自:https://www.csoonline.com/article/3645449/exploit-chains-explained-how-and-why-attackers-target-multiple-vulnerabilities.html倘若转截,请标明全文详细地址。