零日漏洞:甚麼是零日漏洞及防毒軟件如何防護
零日漏洞是攻擊者在開發商發現前便加以利用的軟件缺陷。了解零日漏洞有助理解現代安全如何防範未知威脅。
零日漏洞是攻擊者在開發商發現前便加以利用的軟件缺陷。了解零日漏洞有助理解現代安全如何防範未知威脅。
零日漏洞是軟件中的安全缺陷,軟件供應商對此並不知情,因此沒有官方補丁或修復程序。「零日」一詞指開發商解決問題的天數——零天,因為漏洞對他們而言要麼是未知的,要麼是已知但尚未修補的。零日漏洞利用是利用零日漏洞入侵系統的惡意代碼。從攻擊者發現漏洞到供應商提供補丁之間的時間窗口是最大暴露期——在此期間,每個運行有漏洞軟件的系統都存在潛在風險,且沒有官方修復措施。
漏洞的生命週期說明了零日概念。研究人員或攻擊者發現軟件缺陷。如果安全研究人員(有時稱為「白帽」發現)發現了它,負責任的披露實踐是私下通知供應商,並給予他們在公開披露前的一段特定時間(通常是90天,根據Google Project Zero的標準)來發布修復程序。如果犯罪分子或國家支持的攻擊者先行發現,他們會保密以維持攻擊價值——零日保持秘密和未修補的時間越長,其持續利用的價值就越高。一些零日漏洞被私下持有多年;Stuxnet(針對伊朗核設施的國家級惡意軟件)同時使用了四個零日漏洞利用,展示了國家級行為者戰略性囤積和使用零日漏洞的能力和意願。
零日漏洞利用市場是一個重大且有據可查的現象。政府機構、私人情報承包商和犯罪組織為未披露的零日漏洞支付大筆費用。商業漏洞中介商Zerodium公開列出收購價格:無需用戶互動的iOS零點擊漏洞利用最高可達250萬美元。這種經濟動態激勵尋找和出售零日漏洞而非向供應商報告,導致被積極利用的未修補漏洞數量增加。對香港機構而言,實際影響是擁有國家級資源或背景的複雜攻擊者,可能對常用軟件和平台具備零日攻擊能力。
零日漏洞利用通常針對記憶體安全漏洞——緩衝區溢出、使用後釋放錯誤、類型混淆漏洞——存在於處理外部輸入的軟件中。瀏覽器零日漏洞尤為珍貴,因為現代瀏覽器是極其複雜的代碼庫,持續處理不受信任的外部內容(網頁)。JavaScript引擎、PDF渲染庫或字體解析組件中的漏洞,可能允許攻擊者在受害者訪問精心製作的頁面時,在瀏覽器進程的上下文中執行任意代碼。之後可能還需要額外的提權漏洞利用,以逃離瀏覽器的沙箱並以完整系統權限執行代碼。
高知名度的零日漏洞利用活動提供了具啟發性的案例。Log4j Java日誌庫中的Log4Shell漏洞(CVE-2021-44228)於2021年12月披露,隨即被大規模利用針對企業伺服器。各組織只有數天時間在其基礎設施中識別並修補所有易受攻擊的庫實例——這是一項嚴峻挑戰,因為Log4j嵌入在數千個應用程式中,其中許多是組織未曾意識到的。Microsoft Exchange伺服器漏洞(HAFNIUM攻擊,2021年3月)使用四個串連的零日漏洞實現遠程代碼執行和完整伺服器入侵——在修補程序部署前,全球數以萬計的Exchange伺服器遭到入侵。鑒於香港企業廣泛部署企業版Exchange,影響Exchange的ProxyShell漏洞直接波及香港機構。
針對香港機構的國家級行為者已被記錄使用零日漏洞利用。包括Mandiant、FireEye和卡巴斯基的安全研究人員的多份報告記錄了與國家級資源有已知關聯的APT組織,在地緣政治緊張時期使用零日漏洞針對香港目標。APT41(美國司法部歸因的中國相關組織)、APT10和其他多個組織,被觀察到針對香港金融、法律和政治部門的目標使用公開已知的漏洞利用和疑似零日漏洞。對於可能基於其工作或關聯而成為攻擊目標的組織,主動威脅搜尋和EDR能力(不僅僅是被動防毒軟件)是適當的防禦措施。
由於零日漏洞利用沒有特徵碼(漏洞和利用代碼在首次出現時是未知的),基於特徵碼的防毒軟件無法偵測它們。針對零日漏洞的偵測機制是行為性的:漏洞利用防護模組監控利用後的行為,這些行為是典型的,與所使用的具體漏洞無關。當漏洞利用成功運行時,它通常會嘗試執行可識別的動作:從通常非交互式的應用程式生成意料之外的子進程(例如瀏覽器生成PowerShell)、向其他進程注入代碼、停用安全工具、建立異常網絡連接,或向敏感系統位置寫入文件。即使不知道所使用的具體漏洞,這些行為也是可以偵測的。
記憶體保護技術專門針對大多數零日漏洞利用所具有的記憶體安全漏洞利用特徵。ASLR(地址空間佈局隨機化)、DEP/NX(數據執行防止/不執行)、控制流保護(CFG)和任意代碼保護(ACG)是現代Windows、macOS和Linux中內置的操作系統級緩解措施,通過隨機化記憶體佈局並防止從數據區域執行代碼,使漏洞利用顯著更加困難。Malwarebytes Premium等安全產品在操作系統保護之上增加了一層應用程式級漏洞利用緩解:堆噴射保護、為未自行實現ASLR的應用程式強制啟用ASLR,以及反進程空洞化偵測。這些緩解措施不能防止漏洞的存在,但使成功的漏洞利用變得極為困難。
現代NGAV產品中基於機器學習的偵測提供了另一層零日防禦。在大量惡意軟件樣本數據集上訓練的機器學習模型,學習與惡意意圖相關的統計模式——這些模式可能存在於新型零日漏洞利用載荷中,即使這些具體載荷此前從未被見過。雖然沒有任何機器學習模型能實現對新型惡意軟件100%的偵測率,但高質量的NGAV平台在使用從未見過的惡意軟件樣本的獨立測試中(AV-TEST ↗的「零日惡意軟件和網絡攻擊」測試類別專門衡量這一點),展示了有意義的零日偵測能力。具備雲端威脅情報 ↗的EDR平台可以關聯其整個客戶群中新出現的行為,當零日漏洞利用模式同時在多處出現時即能識別。
針對零日漏洞利用最有效的措施是縮減攻擊面——您運行的處理不受信任外部輸入的軟件組件越少,系統上潛在的零日目標就越少。只保留必要的軟件並移除不常用的應用程式——每個應用程式都代表潛在的零日風險。積極更新所有軟件,包括瀏覽器插件、PDF閱讀器和媒體播放器。雖然更新不能解決零日漏洞(根據定義),但它們能迅速解決已知漏洞,而這些漏洞往往因組織修補緩慢而仍可被利用。實際上,大多數大規模漏洞利用活動使用的是最近披露但尚未修補的漏洞,而非真正的零日漏洞——因此快速修補非常有效。
瀏覽器安全設置提供有意義的零日風險降低。使用可縮減攻擊面的瀏覽器功能:使用uBlock Origin等擴充功能在不受信任的網站上盡可能禁用JavaScript(該擴充功能可攔截透過惡意廣告投遞零日漏洞利用的惡意廣告網絡);對高風險瀏覽使用瀏覽器隔離或私隱/無痕模式;將瀏覽器更新至最新版本(在零日漏洞披露後,瀏覽器供應商會非常迅速地發布更新);並考慮使用專用瀏覽器實例進行金融交易,而非用於一般瀏覽。對於企業,在雲端環境中執行瀏覽器會話的瀏覽器隔離技術,可消除成功的瀏覽器漏洞利用到達用戶實際裝置或網絡的風險。
對於面臨使用零日漏洞的針對性攻擊風險較高的組織——金融機構、擁有高知名度客戶的律師事務所、公民社會組織、媒體公司,以及在香港擁有地緣政治敏感業務的企業——有必要採取額外的保護措施。Microsoft Defender的攻擊面縮減(ASR)規則攔截常見被利用的行為模式,不受特徵碼影響。應用程式白名單(只有預先批准的應用程式才能執行)即使在成功利用傳遞途徑後也能阻止零日載荷運行。網絡分段限制漏洞利用成功後的爆炸半徑。對於特別高風險的個人,Apple的iOS鎖定模式以犧牲部分功能為代價,提供針對零點擊移動漏洞利用的極度強化。安全始終是保護與可用性之間的平衡——適當的級別取決於誰可能針對您以及原因。
