根据报告显示，互联网上超过一半的电子邮件服务受到远程代码执行攻击（remote code execute）的影响。RCE漏洞是此类漏洞中最危险的一种，因为攻击者可能会在脆弱的服务器中执行恶意代码。

图1 2019年RCE漏洞占比

图2 2020年RCE漏洞占比

从图1、图2可以看出，RCE攻击从2019年的7%大幅增加到2020年第二季度的27%。远程代码执行允许攻击者完全地控制远程计算机，就像他们实际坐在计算机前面一样。这包括但不限于复制、编辑和删除文档或文件、安装新程序、更改或禁用防火墙和防病毒等防御产品、设置关键日志记录器或后门，以及使用新被入侵的计算机攻击新机器。RCE攻击的动机取决于您的业务领域、您的客户、以及您所持有的数据。攻击的目的可能是实现以下任何一项：

• 渗透和监控。攻击者可以简单地使用RCE攻击来进入您的网络，例如进行企业间谍活动。RCE可能是更广泛攻击的第一步，而且确实是确保对您的操作进行持续监控的一种方法。
• 窃取数据。RCE攻击可能为进一步安装代码打开大门，而这反过来又可能导致数据传输。从一次RCE攻击开始，网络罪犯可以逐步控制您的计算资源，最终窃取大量数据。
• 破坏。攻击者可以使用一个RCE漏洞进入您的系统来破坏它，例如，一个简单的缓冲区溢出攻击可以显著地破坏您的操作。因此，远程攻击者可以通过确保您的在线存在是离线的，或者通过造成另一种干扰，给您或您的客户带来不便或成本，来实现他们的目标。

自2020年到今年，先后出现了几起典型的威胁攻击事件：

1、CVE-2020-1206 (SMBleed) 和 CVE-2020-1301 (SMBLost)

Microsoft Server Message Block 3.1.1 (SMBv3) 协议处理某些请求的方式中存在信息泄露漏洞。成功利用此漏洞的攻击者可以获得信息以进一步破坏用户系统。

为了针对服务器利用该漏洞，未经身份验证的攻击者可以向目标SMBv3服务器发送特制数据包。要针对客户端利用该漏洞，未经身份验证的攻击者需要配置恶意的SMBv3服务器并说服用户连接到它。

图3 windows蓝屏

2、CVE-2020-5902：F5 BIG-IP远程代码执行漏洞

F5于2020 年6月30日发布了一个严重的远程代码执行漏洞(CVE-2020-5902)，该漏洞影响了多个版本的BIG-IP。此RCE漏洞允许攻击者或任何可以远程访问流量管理用户界面 (TMUI) 的用户远程执行系统命令。

在Shodan搜索中，可以看到1030台设备容易受到CVE-2020-5902的攻击。

图4 BIG-IP事件

如果您的BIG-IP将其TMUI暴露在Internet上并且没有运行该软件的更新版本，则它可能已经受到威胁，您应该遵循内部事件响应程序。在BIG-IP版本15.0.0-15.1.0.3、14.1.0-14.1.2.5、13.1.0-13.1.3.3、12.1.0-12.1.5.1和11.6.1-11.6.5.1中，流量管理用户界面(TMUI)，也称为配置实用程序，在未公开的页面中存在远程代码执行 (RCE) 漏洞。

3、CVE-2020-17051：Windows网络文件系统远程代码执行漏洞 

2020年11月10日，针对一个关键漏洞 (CVE-2020-17051) 在Window NFSv3（网络文件系统）注册表上发布了一个补丁。在Windows和Unix/Linux中，NFS通常用于异构环境中的文件共享。nfssvr.sys 驱动程序中的蓝色死亡屏幕(BSOD)可以针对即时BSOD重复出现。更新还包括ASLR（地址结构随机化）可能绕过同一nfssvr.sys驱动程序中的远程内核数据读取错误。

4、CVE-2020-17083和CVE-2020-17084：Microsoft Exchange Server远程代码执行漏洞 

该漏洞允许远程用户在目标系统上执行任意代码。攻击者必须向受影响的应用程序发送特制的请求才能利用此漏洞。由于边界错误而存在漏洞。远程用户可以在目标系统上执行任意代码。远程身份验证用户可以通过Internet利用此漏洞。成功利用此漏洞可能会导致易受攻击的系统完全受到攻击。

5、CVE-2020-17061：Microsoft SharePoint远程代码执行漏洞 

该漏洞允许远程用户在目标系统上执行任意代码。攻击者必须向受影响的应用程序发送特制的请求才能利用此漏洞。由于边界错误而存在漏洞。远程用户可以在目标系统上执行任意代码。远程身份验证用户可以通过Internet利用此漏洞。成功利用此漏洞可能会导致易受攻击的系统完全受到攻击。

6、CVE-2021-40444：Microsoft MSHTML远程代码执行漏洞

CVE-2021-40444是MSHTML渲染引擎中的一个关键漏洞。Microsoft Office应用程序使用MSHTML引擎来处理和显示web内容。成功利用CVE-2021-40444的攻击者可以通过使用恶意ActiveX控件执行任意代码，实现对目标系统的完全控制。

恶意行为者正在利用CVE-2021-40444，使用专门制作的Microsoft Office文档。典型的此类文档使用MSHTML引擎打开位于攻击者控制的端点上的恶意网站。此网站作为MIME HTML(MHTML)对象链接和嵌入(OLE)对象存在于文档的上下文中。该网站执行JavaScript代码和ActiveX控件，然后在打开恶意Office文档的系统上执行恶意代码。此代码以动态链接库(DLL)的形式驻留在攻击者控制的端点上。

远程代码执行漏洞是在内存层执行的，不易被检测到，其它如基于主机的IPS(HIPS)、应用程序控制、文件白名单和服务器端点套件等一般局限于文件静态检测、启发式检测、动态行为分析、主动防御等技术，这些技术虽然对传统威胁攻击具有不错的检测、防御效果，但对于基于内存的攻击缺少检测能力，并容易产生大量的误报。

此背景下，不得不提到内存保护的解决方案，主要是：

1、基于硬件虚拟化技术的端点安全技术可以很好的突破操作系统的限制，实现对程序行为的细粒度监控，并能很好的解决以往无法解决的大难题：对内存的读、写、执行行为的监控。

2、通过硬件虚拟化技术对内存中关键业务进行打点，并通过对业务的关联分析，监控应用对业务相关内存数据的多读、挂钩、篡改等行为，确保用户核心业务应用程序只按照预期方式运行，不会因为病毒窃取、漏洞触发而遭受攻击，切实有效保护核心数据资产不被窃取。例如，当出现RCE漏洞攻击时，安芯网盾的内存安全产品在发现风险的第一时刻可以进行拦截，阻断恶意代码的后续行为。

图5 上报拦截图

远程代码执行是一种网络攻击，攻击者可以借此在其他人的计算设备上远程执行命令。RCE通常是由主机下载的恶意恶意软件引起的，无论设备的地理位置如何，都可能发生。对于它，要找准合适的解决方案进行检测、防御。