从上半年Outlook漏洞持续攻防，看持久化漏洞风险运营

从上半年Outlook漏洞持续攻防，看持久化漏洞风险运营
2023-5-12 14:26:34 Author: 赛博昆仑CERT(查看原文) 阅读量:21 收藏

在网络安全中，漏洞扮演了至关重要的角色。它既是攻击者利用的弱点，也是防御者应该重点关注和纠正的问题。漏洞一些特点，使其成为攻击过程中顶级的武器，但防御者若能及时运用相应的有效手段，也能成为遏制攻击方的有力抓手。

本文就以介绍2023年上半年的俄乌战争中涉及的微软Outlook漏洞（CVE-2023-23397等）以及围绕它展开的长达一系列漏洞对抗与应急响应的故事为引，同诸位读者探讨下持久化漏洞风险运营的意义。

“漏洞告警即入侵事件”

漏洞是网络安全攻防中非常明确的信号。和一般的安全问题不同，漏洞的存在，直接暗示着系统或应用程序中明显的安全弱点，攻击者可以立即利用这些弱点针对内部网络或系统进行入侵或攻击。

而足够精准的漏洞攻击的发现与告警，本身就是一次非常明确的、“告警即事件”型的对于黑客入侵的事件指征，它要求防御者立刻采取行动，对其进行识别和应对。

2022年3月到12月，随着俄乌战争的爆发，在明面的现代战争之下，网络战也并未有丝毫懈怠。在暗流涌动的背后，它正以无声无息、有序而有力的方式持续展开。

根据微软公司分享给国外安全媒体BleepingComputer的一份内部威胁报告显示，从去年4月开始到同年12月，来自俄罗斯军事情报部门GRU的黑客团队APT-28，利用微软Outlook零日漏洞，使用恶意程序的邮件攻击了超过十五家欧洲的政府、军事、能源和交通运输组织。

12月，乌克兰计算机应急响应中心（CERT-UA）捕获了这一攻击程序，并将漏洞报告给微软公司。2023年3月14日，微软在3月例行补丁日中修复了这一漏洞。

这一漏洞信息随着补丁被公开后，引起了国内外网络安全业界和研究人员的大量关注。经过分析，该漏洞利用难度较低，攻击成功率高，且影响几乎所有主流Outlook版本。

在补丁公布不久之后，就有不少国内外安全公司宣布复现了这一漏洞攻击手法，赛博昆仑CERT在3月15日即国内首家实现了漏洞的有效性验证和远程复现，证实该漏洞仅需远程发送邮件，无须用户交互就可以窃取用户的登录凭据。

通过这一方式，攻击者使用一种近似“隔山打牛”的手段，完全绕过了受害者组织的层层安全保护，可以直接威胁客户的内部网络和系统、应用安全。

随着微软针对该漏洞的检测方法公开，国内外的多个网络安全公司、独立研究员也相继发现并公布了在2022年期间该漏洞被利用攻击政府、企业的多个证据。这揭示了在近乎长达一年的时间里，攻击者利用该漏洞，完全无视了传统的安全防护手段、设备和安全系统，在欧洲的政企、军事目标中来去自如。

奇安信威胁情报中心的红雨滴团队在3月29日发布的“Outlook 权限提升漏洞（CVE-2023-23397）在野攻击样本分析”一文中较好地分析和汇总了多起在2022年期间利用该漏洞针对不同组织进行的攻击证据。其中被攻击的组织包括：土耳其国防科技公司、乌克兰国家移民局、罗马尼亚外交部、波兰军火商等，最早的攻击时间则可追溯至2022年4月1日，其部署时间可能在3月甚至更早。

由此可见，每次漏洞攻击都伴随着典型的安全攻击事件，有的甚至直接揭示了一项隐秘的网络间谍行动。这种情况准确地体现了“告警即事件”的特点。

漏洞的“加速效应”

安全漏洞的生命周期过程中，它的传播效力不是一成不变的，而是在后期会进入一个特殊的“加速过程”。当它在被攻击者作为零日漏洞使用时，通常仅对有限的目标进行攻击，这是因为攻击者能够以相对低的风险和高成功率利用漏洞，而不被广泛的防护措施所检测到。然而，当漏洞被修复并相关信息公开后，情况将发生变化。

漏洞修复后，漏洞的相关信息将开始被广泛传播。这包括漏洞的详细描述、利用方法和可能的影响。这种信息的公开使更多的人，包括潜在的攻击者，获得了关于漏洞的了解。攻击者可以通过研究公开信息，了解漏洞的弱点和利用方式，从而更容易地掌握漏洞的利用技巧。随着漏洞信息的传播，越来越多的攻击者开始意识到该漏洞的存在，并寻求机会来利用它。此外，公开的漏洞信息为其他攻击者提供了学习和借鉴的机会，使他们能够更迅速地发展攻击技术，并将其应用于更多的组织和系统。因此，漏洞修复后，攻击者对于利用该漏洞的兴趣和活动将显著增加。

由于漏洞的公开和攻击者的积极行动，漏洞的利用频率可能会大幅增加。攻击者意识到他们有更多的目标可以攻击，并且有更大的机会在较短的时间内获得更多的利益。这将导致更频繁的漏洞攻击活动，给网络安全带来更大的挑战。

Outlook这一漏洞也毫不例外，面临着上述同样的问题。因此，不仅仅是安装补丁修复漏洞，而且包括防御、对抗和监测针对这一漏洞的攻击行为在阻止、对抗和追踪攻击者上也会变得更加有实际和实战意义。

赛博昆仑 - 洞见平台自3月15日开始，已经支持对该漏洞的资产风险扫描和微补丁修复。使用赛博昆仑-洞见平台的客户可以直接检测组织中存在该漏洞的系统并提示风险，同时，使用赛博昆仑独家的“微补丁“技术，可以在无须安装官方补丁、无须对现有系统做任何配置和改动、重启的前提下，完全阻止这一漏洞攻击，并将这一攻击事件报告给客户。

持久对抗、持续关注

CVE-2023-23397这一Outlook漏洞因其影响范围广、利用难度低而成功率高并称为“2023年开年第一洞”。那么对于组织来说，这一漏洞问题是否就随着补丁的安装、漏洞的修复完结了呢？显然并非如此。

除了我们前一小节所说的“加速效应”之外，从防御者的视角来看，漏洞对抗是一个持续性的、长周期的过程。防御者需要投入长期的关注和资源，以及具备深度的洞察力、研究能力和对抗能力，才能持续地保持领先地位。新的漏洞不断被发现，旧的漏洞可能被重新利用，因此防御者需要始终保持警惕，并持续进行漏洞管理和应对。这需要持久的投入和关注。

漏洞的修复并非一蹴而就。即使厂商发布了针对漏洞的修复补丁，这并不意味着所有受影响的系统都能够立即应用并解决问题。存在各种复杂的因素，例如组织规模庞大、技术架构复杂、系统间依赖关系等，这些都可能导致修复过程的延迟和困难。因此，修复漏洞可能需要多次尝试和不断优化的过程。

修复过程中可能会引入新的安全问题。在修复漏洞的过程中，开发人员或者厂商需要对系统进行修改和更新。然而，这些修改可能会导致其他部分的功能或者安全性受到影响，甚至可能引入新的漏洞。因此，在修复漏洞的过程中，需要进行充分的测试和评估，以确保修复措施本身不会引发其他问题。

漏洞的修复过程可能需要较长的时间跨度。修复一个复杂的漏洞问题往往需要协调多方面的资源和努力。涉及到厂商、安全研究人员、开发者和用户等各方的合作。这个过程可能需要反复的交流、验证、修正和发布，以确保修复方案的有效性和适用性。这一过程的时间跨度可能会因各种因素而异，有时甚至需要数月甚至数年的时间才能最终解决一个漏洞问题。

作为数十年扎根于漏洞研究领域、长期追踪大量漏洞信息的安全公司和团队，赛博昆仑团队对此深有感触，而CVE-2023-23397就是一个典型例子。

在CVE-2023-23397刚被修复之初，3月16日，赛博昆仑的实验室团队就发现微软公司的修复程序中存在问题，可能会被攻击者加以利用，并绕过现有补丁，继续攻击全补丁的系统。赛博昆仑CERT第一时间将该问题报告给厂商，并严格遵守漏洞披露规则和相关法律法规，保密该绕过细节。

3月18日，赛博昆仑CERT监测到国外独立研究员在境外网站公开了该漏洞的绕过攻击模式和部分细节。该攻击可以绕过官方补丁和部分安全产品，继续在全补丁系统上利用该漏洞。赛博昆仑CERT在当日发布了针对这一监测情况的风险通知推送。

由于赛博昆仑-洞见产品的“微补丁”技术并不是直接复制官方补丁的修复方案，而是在深度理解漏洞原理后的深度技术方案，因此洞见产品针对该漏洞的防御不受这一绕过攻击的影响，无须任何升级就可以阻断、告警加载了绕过技术的漏洞攻击。

出人意料又合情合理的是，经过这次“绕过风波”，这个漏洞的故事并未结束。在5月9日的月度例行补丁日中，微软修复了一个名为CVE-2023-29324的漏洞。虽然该漏洞的标题是Windows MSHTML平台安全特性绕过漏洞，但赛博昆仑CERT的研究人员敏锐地注意到：该漏洞同CVE-2023-23397是密切相关的。

而针对这一漏洞的深度分析证明了这一点：该漏洞是微软修复之前的旧漏洞（CVE-2023-23397）引入的新漏洞。该漏洞使得攻击者可以直接在完全无交互的前提下，窃取用户的登录凭据，也就是实现了旧漏洞同样的效果。也就是说，补丁又又被绕过了！这一点在原作者，来自Akamai公司的研究员Ben Barnea的介绍文章“From One Vulnerability to Another: Outlook Patch Analysis Reveals Important Flaw in Windows API”中也得到了印证。

修复漏洞被绕过，再修复又修出新问题还是被绕过，这一过程无疑是令人沮丧的，而且对日常的漏洞管理、安全运营工作压力也会形成压力和挑战，但这就是我们在上面提到的需要持久关注、持续投入的道理所在。

一如既往，赛博昆仑-洞见平台“微补丁”技术因为采用了不同的技术手段针对这一系列漏洞进行防御和拦截， 因此无论是CVE-2023-23397，还是针对CVE-2023-23397的绕过攻击，还是这次新引入的漏洞CVE-2023-29324，针对Outlook的漏洞攻击都能全部“通杀“，无须任何升级，不受绕过影响，可以完全阻断、告警这些漏洞的攻击行为。也就是相比应用官方补丁，使用洞见平台防御该攻击只需一键，官方补丁则需要分别打两次，不仅面临窗口期的风险问题，还是会存在被绕过问题。

深度洞察、深入研究

读者可能会对赛博昆仑CERT如何能够始终跟随漏洞的来龙去脉，并对其中的技术细节和情报了如指掌感到好奇：为什么我们能以惊人的速度深入分析那些只有厂商和发现者了解的漏洞信息？还能将精准、轻量的防御措施迅速部署到产品中，效果和远见甚至超越了官方补丁？

这是因为漏洞对抗依赖于深度的洞察力和研究能力。对漏洞进行深入的分析和研究可以帮助防御者理解攻击者的思路和手段，进而改进系统的安全性。通过了解漏洞的原理和特点，防御者可以更好地进行漏洞预防和修复工作。因此，拥有深度的洞察力和研究能力对于在漏洞对抗中保持领先至关重要。

形成这一客观差异的主要原因是，绝大多数的安全漏洞的信息都是被严格保密的，不会立即公开，甚至很多情况下永不公开。这是为了防止攻击者利用漏洞进行广泛的攻击，同时保护用户和系统的安全。然而，这种信息保密的做法也给深度理解和有效防御漏洞，甚至对于理解漏洞的危险程度都带来了很大的挑战。

要想对漏洞进行深入的了解和有效的防御，安全防御者必须具备领先的安全漏洞研究能力和深度的洞察力。首先，他们需要不断跟进最新的安全漏洞研究成果和技术动态。只有掌握最新的漏洞信息和攻击技术，才能够对漏洞进行全面的分析和理解。这需要持续学习和保持与安全社区的交流与合作，以获取最新的安全知识和经验。

经验积累在漏洞的深入理解和防御中扮演着重要的角色。通过长期的实践和经验积累，安全防御者能够积累大量的知识和技能，对不同类型的漏洞和攻击方式有深入的认知。这些经验可以帮助他们更快地识别和分析新出现的漏洞，预测攻击者的行为，并采取相应的防御措施。经验积累还可以帮助安全防御者更好地评估漏洞修复方案的有效性和风险，从而提供更全面和可靠的防护。

深度技术能力是防御漏洞的关键。安全防御者需要具备广泛的技术知识和技能，包括系统架构、网络协议、编程语言、加密算法等方面的深入了解。只有拥有这些技术能力，才能够深入分析漏洞的原理和漏洞影响的范围，并设计出有效的防御策略。深度技术能力还能够帮助防御者快速响应漏洞的利用，迅速修复和弥补系统的安全漏洞，从而降低系统遭受攻击的风险。对于安全防御者来说，没有第一手的漏洞信息，无法直接了解漏洞的技术细节和利用方式。因此，他们需要通过自身的努力和研究来推测漏洞的本质，并从已公开的信息和经验中进行分析和判断。这要求他们保持对安全领域的持续关注和积极参与，以获取更多的信息和洞察。同时，与软件厂商和漏洞发现者的合作也是重要的，通过合作可以获得更多的漏洞信息和技术支持，加强对漏洞的理解和防御。

赛博昆仑团队在数十年的从业经验中，在系统、软件、漏洞和攻击者理解等方面积累了丰富的信息和经验。我们持续追踪并深入研究最新、最广泛的安全漏洞，同时积极参与国内外的漏洞信息共享和交流。这为赛博昆仑的CERT、服务和平台产品提供了足够的能力，以应对漏洞对抗这场"持久战"的挑战。

总结

借着对Outlook这一漏洞案例一年多来的“奇幻漂流”的介绍，笔者同各位深入探讨了持续性的漏洞对抗和持久的漏洞风险运营的关键要点。漏洞是网络安全防御的前沿哨点和关键阵地，值得持续关注、长期投入、深度洞察和不断对抗。只有通过持续的努力和全方位的防护措施，才能有效地减少漏洞对网络安全的威胁，保持系统的持续安全。

本次介绍的这个漏洞到这里看似是告一段落了，但我们不能忽视未来也许仍会有更多的绕过、新的攻击面和攻击手段的出现，任重道远。

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484157&idx=1&sn=aae817c3854b09375110269ab838b7fd&chksm=c12aff7cf65d766a024046be51510ce324d559a8b9af4903cef784103e211a8a76b252bfa18e#rd
如有侵权请联系:admin#unsafe.sh