黑客50万美元售卖Zoom零日漏洞

 

近日,办公软件Zoom存在重大安全漏洞的的消息引发各界关注:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观。有人还在暗网上销售了超过50万个Zoom账户。

美国时间4月15日,外媒BleepingComputer又发出了一个爆炸性新闻:比在线围观可能导致的商业机密泄露、拖走账户密码更可怕的是,黑客顺手把Zoom Windows客户端零日漏洞的利用方法以50万美元的价格出售。

据报道称,这个零日漏洞是一个远程代码执行漏洞,潜在的攻击者可以在运行 Zoom Windows 客户端的系统上执行任意代码,如果再加上其他漏洞,甚至可以完全控制用户的设备。

零日漏洞的威力可不小,它是受影响的软件或硬件供应商尚未修补的漏洞,连提供者都没发现和修补,更别提暂时有什么安全措施可以防护了。

也就是说,如同“裸奔”的用户此时面对手持“刀枪”的黑客,用户电脑上的信息一览无余,黑客想干嘛就干嘛。然后,黑客还把这种“定制化武器”出售给别人,想想就可怕。

专注办公终端及办公环境安全研究的阿里安全高级安全专家灵闻提醒,必须重视远程会议软件零日漏洞利用方法被售卖带来的安全威胁。比如,账户被盗、隐私数据泄露、设备被入侵,把入侵设备作为跳板进一步入侵企业办公和生产网络,窃取企业机密文件等。

疫情期间远程办公的广泛需求揭开了办公安全的伤疤。事实上,不只是这类远程在线会议软件,办公安全早就痛过了。

2019年5月,安全情报公司Trend Micro称,网络犯罪分子利用Atlassian公司生产的办公软件Confluence的漏洞进行挖矿攻击。这个漏洞允许网络罪犯在计算机上偷偷安装和运行门罗币挖矿软件,并隐藏恶意软件的网络活动来掩盖挖矿行为。

3个月前,安全人员发现了微软office的两个高危漏洞,这两个漏洞会导致用户的主机被远程控制。Office办公软件是最基本的办公软件,一旦漏洞被不法分子发现或利用,用户个人隐私甚至是财产、人身安全都将受到威胁。

新冠疫情发生后,远程办公助力复工复产,建设“新基建”促进经济复苏,新基建的底线建设办公安全显得更加重要。

灵闻介绍,办公安全主要面临钓鱼、漏洞攻击、数据泄露、物理入侵等风险,常见的入侵手法是,攻击并控制办公网的一个终端设备,成为入侵办公网的跳板,然后对办公网络环境进行探测,寻找其他可以入侵的终端设备,使用不同的攻击手段横向扩展,以防止被检测出来后全部清除,之后长期进行隐蔽,寻找生产网漏洞或可以获取生产网数据的特权终端或账户,最终获取公司重要数据资产或加密数据进行勒索。

经过对入侵手法的长期研究和实际场景业务的经验沉淀,阿里安全在新一代安全架构中,从安全基建出发,总结出三个构建办公安全的指导性原则。

第一,要保障新基建每一块砖可溯源,就要建立统一的终端设备的准入与认证,任何终端设备都有可能被攻击,终端设备不可信,要从传统的基于可信内网和设备的认证转向基于终端和操作人员的双重认证。

第二,要在安全运营中对威胁提前感知,整合感知和协同处置能力,要让基础设施完备,具有端到链路的完整检测、响应和处置能力。同时汇总日志,协调端和网络侧设备自适应安全策略调整。

第三,针对不同用户分层设置安全措施,重点人群重点保护。针对不同的办公人群可以分配不同的办公终端设备,如敏感人群可以配备物理防护设备和安防工作终端等。

“基于当前攻防对抗环境下,任何单点都有可能存在漏洞并被攻击者利用,不要过度依赖单点的防护能力。由于目前工作环境复杂,在外办公需求多,因此要针对不同的场景进行分层运营,完善动态行为控制策略,整体架构设计上尽量简单。”灵闻说。

(完)