内存安全周报第50期|REvil黑客团伙利用0day漏洞发起供应链攻击,被波及的企业超过1000家
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day/Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
1. REvil黑客团伙利用Kaseya VSA产品中的0day漏洞发起供应链攻击,被波及的企业超过1000家(7月6日)
7月2日,REvil对大约50家托管服务提供商 (MSP) 发起了大规模勒索软件攻击。攻击者发现并利用了Kaseya的终端管理和网络监控VSA软件中一个未修补的零日漏洞CVE-2021-30116,使这些MSP的1500名下游客户感染了勒索软件。
详细信息
攻击者首先利用身份验证绕过漏洞获取了管理员的身份会话,然后通过文件上传漏洞上传了多个压缩编码的病毒程序和恶意脚本文件,最终利用SQL注入漏洞执行恶意脚本文件针对本地端口的API发送请求添加名为“Kaseya VSA Agent Hot-fix”的命令执行任务,并针对所有的客户端下发该勒索病毒安装任务。
这个漏洞之前已由荷兰漏洞披露研究所 (DIVD)的一名研究人员发现并报告给Kaseya。但在Kaseya开发出补丁之前,Revil已经发现了该0day漏洞并发起了攻击。REvil组织向受害者提供通用解密器的要求赎金为7000万美元,后来又将要求降低到5000万美元。此次攻击被认为是近年来除了WannaCry外感染设备量最大,赎金最高的勒索病毒感染事件。
参考链接:
2. 微软新的内核数据保护技术(KDP)通过将部分Windows内核设置为只读来阻止恶意软件修改或破坏操作系统内存(7月8日)
微软于7.8日披露了Windows 10安全功能的细节。目前Windows10 Insider版本正在测试新的内核数据保护功能,该KDP技术通过将部分Windows内核设置为只读来阻止恶意软件破坏操作系统内存。
详细信息
根据微软的说法,KDP让开发人员可以访问编程API,这将允许他们将Windows内核的某些部分指定为只读部分。KDP的工作原理是将内核内存标记设为只读,并将其移动到基于虚拟化的安全性“虚拟安全模式”中,即使操作系统本身也无法对其进行篡改。KDP确保策略数据结构policy data structure不能被轻易篡改,来减少攻击者使用签名但易受攻击的驱动程序攻击策略数据结构并安装恶意的、未签名的驱动程序。
微软表示,除了提高操作系统安全性之外,KDP还具有其他好处,例如:KDP可以更轻松地诊断非安全漏洞的内存损坏错误;可以激励驱动程序开发人员和供应商提高与基于虚拟化的安全性的兼容性,从而提高这些技术的采用率。
参考链接: