随着攻防对抗的发展，基于内存的攻击方法越来越多，比如 UAF、DoubleFree、堆栈溢出等类型漏洞都属于内存破坏型漏洞。内存安全问题是各类系统和应用所面临的最大攻击来源，尽管企业和机构都部署了大量的安全防护产品，但攻击者仍然能够轻而易举的突破层层防线，复杂的网络攻击在不断增加，现有的检测防御方案失效，成为企业在安全能力建设中的痛点。微软、Google等全球性科技公司相继曝出近年来的安全威胁中70%都是内存安全漏洞，国内外对于内存安全问题的关注度也开始提高。

内存保护技术首次提出是在 2016 年，IT 咨询公司 Gartner 将基于非签名方法的终端防御技术（内存保护技术和漏洞利用阻断技术）列为面向未来的十大信息安全技术之一，2018 年美国著名 IT 杂志 CRN将 内存保护产品评为 20 个关键创新热门安全产品中的 top1 。

安芯网盾作为国内内存安全领域的开拓者和创新者，在2019年年中推出内存安全产品，填补国内在内存安全问题方面实时检测与防御的空白，也为客户提供了新一代高级威胁实时防护解决方案。内存保护技术及相关产品开始在国内被媒体和行业关注。

那么，企业到底该如何防御内存安全威胁，安芯网盾小编近日起在公众号推出了内存安全威胁周报，先从知己知彼开始，方能百战不殆。

1、针对意大利制造行业的高级攻击，疑似与 Gorgon APT 相关

（6.29）

Gorgon APT（高级持久攻击）是一个老牌且高危的在线攻击，由Unit 42研究人员于2018年2月首次发现。自2018年2月首次被发现以来，Gorgon APT一直在策划对政府组织（美国、英国、俄罗斯、西班牙等）的攻击以及对全球企业目标的攻击。此外，2020年它推出了新功能CMSTP绕过攻击，因为被发现可利用此漏洞的首批恶意软件可追溯到2019年中，这使研究者误认为攻击者使用的是处于比较前沿的攻击技术。关于持久性机制，研究人员注意到攻击者使用了最初计划的任务，但是在最新感染中使用了注册表运行键。所有攻击都至少使用一种混淆方法，这使得分析更加困难。

2、CVE-2020-0796漏洞可让远程且未经身份验证的攻击者在目标系统上执行任意代码，该漏洞类似于永恒之蓝。

（6.29）

微软公布了在Server Message Block 3.0（SMBv3）中发现的“蠕虫型”预授权远程代码执行漏洞。本次漏洞源于SMBv3没有正确处理压缩的数据包，在解压数据包的时候使用客户端传过来的长度进行解压时，并没有检查长度是否合法，最终导致整数溢出。利用该漏洞，黑客可直接远程攻击SMB服务端远程执行任意恶意代码，亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。

3、CVE-2020-9498：RDP静态虚拟通道处理中的悬空指针

（7.2）

Apache Guacamole 1.1.0和更早版本可能会错误处理涉及的指针处理通过RDP静态虚拟通道接收的数据。如果用户连接到恶意或受感染的RDP服务器，特制PDU可能会导致内存损坏允许使用以下命令的特权执行任意代码正在运行guacd进程。

如若转载，请注明原文地址