黑客50萬美元售賣Zoom零日漏洞 “安全基建”應成構建辦公安全的指導性原則

發表於2020-04-16

近日,辦公軟體Zoom存在重大安全漏洞的的訊息引發各界關注:數以萬計的私人Zoom視訊被上傳至公開網頁,任何人都可線上圍觀。有人還在暗網上銷售了超過50萬個Zoom賬戶。


美國時間4月15日,外媒BleepingComputer又發出了一個爆炸性新聞:比線上圍觀可能導致的商業機密洩露、拖走賬戶密碼更可怕的是,黑客順手把Zoom Windows客戶端零日漏洞的利用方法以50萬美元的價格出售。


據報導稱,這個零日漏洞是一個遠端程式碼執行漏洞,潛在的攻擊者可以在執行 Zoom Windows 客戶端的系統上執行任意程式碼,如果再加上其他漏洞,甚至可以完全控制使用者的裝置。


零日漏洞的威力可不小,它是受影響的軟體或硬體供應商尚未修補的漏洞,連提供者都沒發現和修補,更別提暫時有什麼安全措施可以防護了。


也就是說,如同“裸奔”的使用者此時面對手持“刀槍”的黑客,使用者電腦上的資訊一覽無餘,黑客想幹嘛就幹嘛。然後,黑客還把這種“定製化武器”出售給別人,想想就可怕。


專注辦公終端及辦公環境安全研究的阿里安全高階安全專家靈聞提醒,必須重視遠端會議軟體零日漏洞利用方法被售賣帶來的安全威脅。比如,賬戶被盜、隱私資料洩露、裝置被入侵,把入侵裝置作為跳板進一步入侵企業辦公和生產網路,竊取企業機密檔案等。


疫情期間遠端辦公的廣泛需求揭開了辦公安全的傷疤。事實上,不只是這類遠端線上會議軟體,辦公安全早就痛過了。


2019年5月,安全情報公司Trend Micro稱,網路犯罪分子利用Atlassian公司生產的辦公軟體Confluence的漏洞進行挖礦攻擊。這個漏洞允許網路罪犯在計算機上偷偷安裝和執行門羅幣挖礦軟體,並隱藏惡意軟體的網路活動來掩蓋挖礦行為。


3個月前,安全人員發現了微軟office的兩個高危漏洞,這兩個漏洞會導致使用者的主機被遠端控制。Office辦公軟體是最基本的辦公軟體,一旦漏洞被不法分子發現或利用,使用者個人隱私甚至是財產、人身安全都將受到威脅。


新冠疫情發生後,遠端辦公助力復工復產,建設“新基建”促進經濟復甦,新基建的底線建設辦公安全顯得更加重要。


靈聞介紹,辦公安全主要面臨釣魚、漏洞攻擊、資料洩露、物理入侵等風險,常見的入侵手法是,攻擊並控制辦公網的一個終端裝置,成為入侵辦公網的跳板,然後對辦公網路環境進行探測,尋找其他可以入侵的終端裝置,使用不同的攻擊手段橫向擴充套件,以防止被檢測出來後全部清除,之後長期進行隱蔽,尋找生產網漏洞或可以獲取生產網資料的特權終端或賬戶,最終獲取公司重要資料資產或加密資料進行勒索。


經過對入侵手法的長期研究和實際場景業務的經驗沉澱,阿里安全在新一代安全架構中,從安全基建出發,總結出三個構建辦公安全的指導性原則。


第一,要保障新基建每一塊磚可溯源,就要建立統一的終端裝置的准入與認證,任何終端裝置都有可能被攻擊,終端裝置不可信,要從傳統的基於可信內網和裝置的認證轉向基於終端和操作人員的雙重認證。


第二,要在安全運營中對威脅提前感知,整合感知和協同處置能力,要讓基礎設施完備,具有端到鏈路的完整檢測、響應和處置能力。同時彙總日誌,協調端和網路側裝置自適應安全策略調整。


第三,針對不同使用者分層設定安全措施,重點人群重點保護。針對不同的辦公人群可以分配不同的辦公終端裝置,如敏感人群可以配備物理防護裝置和安防工作終端等。


“基於當前攻防對抗環境下,任何單點都有可能存在漏洞並被攻擊者利用,不要過度依賴單點的防護能力。由於目前工作環境複雜,在外辦公需求多,因此要針對不同的場景進行分層運營,完善動態行為控制策略,整體架構設計上儘量簡單。”靈聞說。


相關文章