近日Firefox用戶被敦促使用Mozilla的最新更新,來(lái)堵住一個(gè)可能允許攻擊者控制受影響系統(tǒng)的嚴(yán)重漏洞。在此之前,微軟Edge、谷歌Chrome和蘋(píng)果Safari瀏覽器都進(jìn)行了類(lèi)似的更新,所有這些瀏覽器都受到WebP代碼庫(kù)中一個(gè)漏洞的嚴(yán)重影響。
雖然WebP漏洞也影響其他軟件,但瀏覽器無(wú)疑是終端用戶設(shè)備上一種最普遍、最廣泛使用的應(yīng)用程序,在受感染的瀏覽器中站穩(wěn)腳跟,威脅分子就可以訪問(wèn)敏感信息,并獲得潛入目標(biāo)環(huán)境的潛在途徑。
本文深入探討了瀏覽器安全,介紹漏洞和漏洞利用工具、零日漏洞和N日漏洞之間的區(qū)別,并重點(diǎn)介紹2023年的幾大瀏覽器漏洞,討論了威脅分子如何通過(guò)瀏覽器軟件實(shí)施各種攻擊,末尾還附有幫助企業(yè)加強(qiáng)瀏覽器安全性的指南。
關(guān)鍵概念|漏洞與漏洞利用工具的區(qū)別
漏洞本質(zhì)上是軟件、硬件或系統(tǒng)中可能被利用的弱點(diǎn)或缺陷,這些可能是因編碼錯(cuò)誤、配置錯(cuò)誤或設(shè)計(jì)缺陷而造成的,它們無(wú)意中為安全威脅敞開(kāi)了大門(mén)。
漏洞可能存在于技術(shù)的方方面面,包括操作系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)協(xié)議,甚至是人類(lèi)行為,不是每個(gè)漏洞都能被利用,也不是每個(gè)漏洞都會(huì)導(dǎo)致代碼執(zhí)行或數(shù)據(jù)丟失。
惡意分子將漏洞轉(zhuǎn)化為漏洞利用工具的可能性和難易程度,以及該漏洞代碼工具可能被用來(lái)執(zhí)行的操作,是理解漏洞嚴(yán)重性等級(jí)這個(gè)概念的一種非正規(guī)方式。可以在這里找到對(duì)CVSS和漏洞度量指標(biāo)的更正規(guī)的理解。
利用是主動(dòng)利用漏洞實(shí)施惡意行為的行動(dòng)。它包括利用已識(shí)別的弱點(diǎn)來(lái)獲得未經(jīng)授權(quán)的訪問(wèn)、破壞數(shù)據(jù)、擾亂服務(wù)或執(zhí)行其他有害活動(dòng),利用表現(xiàn)為多種形式,比如代碼執(zhí)行、特權(quán)升級(jí)、數(shù)據(jù)盜竊或者遠(yuǎn)程控制受感染系統(tǒng)。
漏洞和利用是Web瀏覽器安全中兩個(gè)不同但又相互關(guān)聯(lián)的概念。雖然今天的Web瀏覽器代碼中可能存在許多漏洞,但并非所有漏洞都可以被利用或被威脅分子積極利用。
未修補(bǔ)漏洞|了解零日和N日漏洞
當(dāng)攻擊者發(fā)現(xiàn)零日漏洞時(shí),他們有機(jī)會(huì)在開(kāi)發(fā)者意識(shí)到并發(fā)布安全補(bǔ)丁之前利用它。“零日”這個(gè)名字源于一個(gè)令人不安的事實(shí),即由于開(kāi)發(fā)者沒(méi)有意識(shí)到漏洞,他們沒(méi)有時(shí)間(零日)來(lái)修復(fù),在一個(gè)未打補(bǔ)丁的漏洞被公之于眾后,從那時(shí)起,它常被稱為N日漏洞,其中N表示從發(fā)現(xiàn)到發(fā)布補(bǔ)丁的天數(shù)。
零日漏洞和N日漏洞都是機(jī)會(huì)窗口,讓網(wǎng)絡(luò)犯罪分子可以趁機(jī)破壞用戶數(shù)據(jù)、傳播惡意軟件或未經(jīng)授權(quán)訪問(wèn)系統(tǒng),利用這些漏洞可能會(huì)產(chǎn)生深遠(yuǎn)的后果,影響各種平臺(tái)上的大量用戶。Web瀏覽器中的零日漏洞是網(wǎng)絡(luò)安全最重要、最具挑戰(zhàn)性的方面之一。
2023年主要瀏覽器的被利用漏洞
WebP漏洞不是最近影響互聯(lián)網(wǎng)瀏覽器的唯一CVE。谷歌在2023年為Chrome增添的補(bǔ)丁包括針對(duì)以下漏洞:
- CVE-2023-2033(CVSS分?jǐn)?shù):8.8)—V8中的類(lèi)型混淆
- CVE-2023-2136(CVSS分?jǐn)?shù):9.6)—Skia圖形庫(kù)中的整數(shù)溢出
- CVE-2023-3079(CVSS分?jǐn)?shù):8.8)—V8中的類(lèi)型混淆
- CVE-2023-4863(CVSS分?jǐn)?shù):8.8)—WebP中的堆緩沖區(qū)溢出
- CVE-2023-5217(CVSS分?jǐn)?shù):8.8)—libvpx中vp8編碼的堆緩沖區(qū)溢出
與此同時(shí),蘋(píng)果今年也針對(duì)WebKit(為Safari及其他Web應(yīng)用程序提供支持的瀏覽器引擎)中相當(dāng)數(shù)量的零日漏洞發(fā)布了補(bǔ)丁。
- 今年2月,針對(duì)WebKit零日漏洞CVE-2023-23529發(fā)布了補(bǔ)丁,該漏洞被用于攻擊,以便在iPhone、iPad和Mac設(shè)備上執(zhí)行代碼。
- 4月,WebKit釋放后使用漏洞CVE-2023-28205被修補(bǔ),以防止可能導(dǎo)致攻擊者在受損設(shè)備上執(zhí)行代碼的漏洞。
- 5月,三個(gè)WebKit漏洞CVE-2023-32409、CVE-2023-28204和CVE-2023-32373在被報(bào)告用于攻擊后得到了修補(bǔ)。
- 7月,蘋(píng)果修補(bǔ)了WebKit中的CVE-2023-37450漏洞,該漏洞也被廣泛利用。
Mozilla在2023年也修補(bǔ)了多個(gè)漏洞,包括CVE-2023-34414、CVE-2023-34416、CVE-2023-4584/5以及Firefox 118中的嚴(yán)重漏洞CVE-2023-5217,最后一個(gè)漏洞與已知被大肆利用的libvpx(WebP)漏洞有關(guān)。
近日,微軟Edge同樣針對(duì)WebP漏洞打了補(bǔ)丁。此外,去年8月的補(bǔ)丁星期二還修復(fù)了兩個(gè)被大肆利用的零日漏洞:CVE-2023-36884和CVE-2023-38180,以及另外23個(gè)遠(yuǎn)程代碼執(zhí)行漏洞(其中6個(gè)被評(píng)為是“嚴(yán)重漏洞”)。
與其他許多流行的瀏覽器:Vivaldi、Brave和Opera一樣,Edge是一款基于Chromium的瀏覽器,所以谷歌Chrome中的許多同樣漏洞也適用于這些瀏覽器和Edge。
擴(kuò)展和附件|擴(kuò)大攻擊面
雖然瀏覽器本身是一個(gè)容易下手的攻擊面,但瀏覽器擴(kuò)展、插件和附件也是惡意軟件(尤其是信息竊取器)的攻擊途徑。
比如說(shuō),隨著ChatGPT日益普及,威脅分子緊跟AI潮流,制作虛假的ChatGPT瀏覽器擴(kuò)展,以劫持?jǐn)?shù)千個(gè)Facebook企業(yè)賬戶,并傳播一個(gè)名為“快速訪問(wèn)ChatGPT”的惡意信息竊取器。
一些下載網(wǎng)站中也發(fā)現(xiàn)了惡意擴(kuò)展。今年6月,谷歌從Chrome Web商店中刪除了32個(gè)惡意擴(kuò)展,這些擴(kuò)展的下載量總計(jì)超過(guò)7500萬(wàn)人次,這些鬼鬼祟祟的代碼不僅包含用戶期望的合法功能,還包含經(jīng)過(guò)混淆處理的惡意代碼。在一個(gè)例子中,PDF工具箱擴(kuò)展被用來(lái)將JavaScript注入到訪問(wèn)擴(kuò)展的每個(gè)網(wǎng)站用戶。雖然不清楚攻擊者的目的是什么,但這種技術(shù)可以用來(lái)劫持搜索結(jié)果,并注入惡意鏈接。
雖然谷歌已采取行動(dòng)從其Web商店中刪除了已識(shí)別的擴(kuò)展,但這種刪除并不會(huì)自動(dòng)從瀏覽器中停用或卸載這些擴(kuò)展。
瀏覽器小心|網(wǎng)站提供(虛假)Chrome更新
由于瀏覽器的使用如此廣泛和持續(xù),它們也可能為社會(huì)工程活動(dòng)提供很好的誘餌。威脅分子使用惡意或有毒的網(wǎng)站來(lái)欺騙用戶,讓他們以為瀏覽器需要更新才能查看網(wǎng)站,然后向用戶提供惡意下載,佯裝這是所需的更新。
在最近此類(lèi)活動(dòng)的一個(gè)例子中,安全研究人員發(fā)現(xiàn)了一種新的IDAT加載器,它被用來(lái)投放Stealc、Lumma和Amadey之類(lèi)的信息竊取器。該活動(dòng)謊稱自己是Chrome瀏覽器更新,將受害者重定向到另一個(gè)自動(dòng)下載二進(jìn)制文件的URL,在打開(kāi)虛假的更新二進(jìn)制文件“ChromeSetup.exe”之后,它進(jìn)而下載下一階段的載荷。
插件和跨站腳本(XSS)漏洞
跨站腳本(XSS)是一種常見(jiàn)的Web應(yīng)用程序安全漏洞,將惡意代碼注入到網(wǎng)站或Web應(yīng)用程序中,然后將其提供給訪問(wèn)該網(wǎng)站的其他用戶。XSS攻擊常通過(guò)Web瀏覽器來(lái)執(zhí)行。
CVE-2023-30777于2023年5月被發(fā)現(xiàn),這是WordPress高級(jí)自定義字段PRO插件(版本6.1.5及更早)中的一個(gè)漏洞。該漏洞允許攻擊者注入惡意腳本或其他HTML載荷,有人訪問(wèn)包含這個(gè)高危插件的網(wǎng)站時(shí),載荷就會(huì)執(zhí)行。
XSS漏洞還允許攻擊者將惡意腳本(常用JavaScript編寫(xiě))注入到Web應(yīng)用程序的輸入字段或用戶生成的其他內(nèi)容區(qū)域。這些腳本可以隱藏在看起來(lái)無(wú)害的數(shù)據(jù)中,比如評(píng)論、搜索查詢或表單提交。當(dāng)不知情的用戶訪問(wèn)受感染的網(wǎng)頁(yè)時(shí),他們的Web瀏覽器會(huì)將注入的腳本作為頁(yè)面內(nèi)容的一部分來(lái)呈現(xiàn)。
惡意廣告|瀏覽器軟件的頑疾
由于瀏覽器的主要目的是訪問(wèn)網(wǎng)站并呈現(xiàn)內(nèi)容,因此它們不可避免地受到出現(xiàn)在這些網(wǎng)站上的惡意代碼的濫用,這類(lèi)代碼的一種更常見(jiàn)的形式是惡意廣告,即傳播惡意軟件的在線廣告。
不法分子像普通企業(yè)一樣購(gòu)買(mǎi)廣告位,常使用自動(dòng)化系統(tǒng)下訂單。然后,他們創(chuàng)建嵌入惡意代碼的廣告,并通過(guò)合法的廣告網(wǎng)絡(luò)發(fā)布。
就連大受歡迎、備受信賴的網(wǎng)站也被發(fā)現(xiàn)無(wú)意中提供惡意廣告。惡意廣告可以用來(lái)投放無(wú)需用戶交互的下載件:只要瀏覽器存在某些漏洞,或者廣告中含有惡意鏈接,就能觸發(fā)下載件。
瀏覽器廣告軟件|不僅僅很煩人
廣告軟件是一種禍害,在未經(jīng)用戶同意甚至不知情的情況下在設(shè)備上顯示侵入性廣告。廣告軟件常常與Web瀏覽器擴(kuò)展或插件捆綁在一起安裝,一旦安裝上去,廣告軟件就會(huì)跟蹤用戶的在線行為,收集數(shù)據(jù),然后顯示針對(duì)性的廣告為廣告商大作宣傳。此外,廣告軟件可能會(huì)將用戶的Web瀏覽器重定向到特定的網(wǎng)站或收集個(gè)人信息。
廣告軟件通過(guò)消耗寶貴的系統(tǒng)資源和帶寬來(lái)降低系統(tǒng)性能,最令人擔(dān)憂的是,廣告軟件可以充當(dāng)其他惡意軟件的渠道,包括間諜軟件和勒索軟件。廣告軟件開(kāi)發(fā)者是最高明的開(kāi)發(fā)群體之一,他們經(jīng)常使用類(lèi)似惡意軟件的混淆手法和反分析技巧來(lái)避免用戶或安全軟件的檢測(cè)和刪除。
提高Web瀏覽器的安全性
雖然瀏覽器供應(yīng)商不斷提供補(bǔ)丁更新,并開(kāi)發(fā)新的擴(kuò)展和附件來(lái)應(yīng)對(duì)產(chǎn)品中的風(fēng)險(xiǎn),但組織本身也可以盡量減少威脅,并保護(hù)瀏覽會(huì)話。
1. 做好瀏覽器安全基本功
- 及時(shí)更新瀏覽器軟件是網(wǎng)絡(luò)安全的一個(gè)重要方面。大多數(shù)流行的瀏覽器會(huì)在重新啟動(dòng)時(shí)自動(dòng)更新和/或在更新可用時(shí)提供通知,為了確保更新是正規(guī)的,應(yīng)該始終通過(guò)瀏覽器內(nèi)置的更新機(jī)制進(jìn)行更新,應(yīng)該避免手動(dòng)下載,并且在任何情況下只從開(kāi)發(fā)者的官方軟件更新網(wǎng)站獲取。
- 為了方便,Web瀏覽器通常提供保存密碼的選項(xiàng)。然而,這種便利是以犧牲安全性為代價(jià)的,如果將密碼存儲(chǔ)在瀏覽器中,一旦安全泄密,密碼就更容易被竊取。替代方案是,改而使用信譽(yù)良好的密碼管理器,密碼管理器不僅可以安全地存儲(chǔ)憑據(jù),還可以為每個(gè)帳戶生成獨(dú)特的強(qiáng)密碼。
- 書(shū)簽也有助于提升瀏覽器安全。網(wǎng)絡(luò)犯罪分子可以在經(jīng)常訪問(wèn)的網(wǎng)站上設(shè)計(jì)騙局,誘騙用戶輸入憑據(jù)和敏感信息,為了降低這種風(fēng)險(xiǎn),對(duì)經(jīng)常使用的網(wǎng)站使用書(shū)簽,這就降低了意外遇到假冒網(wǎng)站的可能性。
2. 編寫(xiě)面向全組織的瀏覽器政策和培訓(xùn)材料
組織領(lǐng)導(dǎo)可以與IT團(tuán)隊(duì)合作,確保基本的瀏覽器安全做法實(shí)現(xiàn)自動(dòng)化。如果針對(duì)管理彈出窗口制定最佳實(shí)踐設(shè)置、打開(kāi)自動(dòng)更新和只下載IT部門(mén)認(rèn)可的瀏覽器安全附件,所有級(jí)別的用戶都可以安全地瀏覽互聯(lián)網(wǎng)。
在用戶層面,要求持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)有助于建立更好的防御態(tài)勢(shì),并保護(hù)企業(yè)的數(shù)字資產(chǎn),用戶可以學(xué)會(huì)發(fā)現(xiàn)常見(jiàn)的威脅,比如網(wǎng)絡(luò)釣魚(yú)攻擊、惡意下載和欺騙,然后立即標(biāo)記問(wèn)題。網(wǎng)絡(luò)安全培訓(xùn)還強(qiáng)調(diào)了保持瀏覽器和相關(guān)軟件版本最新的重要性,以及在瀏覽器中存儲(chǔ)敏感數(shù)據(jù)的相關(guān)風(fēng)險(xiǎn)。
3. 購(gòu)置威脅檢測(cè)和響應(yīng)解決方案
擁有可靠的檢測(cè)和響應(yīng)能力是確保Web瀏覽器會(huì)話安全的關(guān)鍵。XDR通過(guò)整合來(lái)自各數(shù)據(jù)源(包括Web瀏覽器)的數(shù)據(jù),提供了一種全面的安全方法。這意味著安全團(tuán)隊(duì)可以對(duì)所有系統(tǒng)保持警惕,實(shí)時(shí)發(fā)現(xiàn)潛在威脅和大肆利用的瀏覽器漏洞。
XDR解決方案還使用高級(jí)分析和機(jī)器學(xué)習(xí)(ML)算法來(lái)檢測(cè)異常或可疑的瀏覽器行為,幫助組織查明基于瀏覽器的漏洞,以免漏洞演變成全面攻擊。通過(guò)分析用戶活動(dòng)、網(wǎng)絡(luò)流量和端點(diǎn)數(shù)據(jù),XDR系統(tǒng)可以識(shí)別不然可能被忽視的威脅或惡意活動(dòng)的跡象。
在基于瀏覽器的網(wǎng)絡(luò)攻擊環(huán)境中,XDR允許安全團(tuán)隊(duì)快速有效地響應(yīng),當(dāng)檢測(cè)到攻擊時(shí),它會(huì)隔離受影響的端點(diǎn),阻止惡意域,并立即采取補(bǔ)救措施,以減小威脅對(duì)組織網(wǎng)絡(luò)造成的影響。
結(jié)論
鑒于Web瀏覽器在桌面和移動(dòng)設(shè)備上無(wú)處不在,所以它們?nèi)匀皇峭{分子竊取數(shù)字身份和個(gè)人信息或發(fā)動(dòng)全面網(wǎng)絡(luò)攻擊的一條頗有吸引力的途徑,感染W(wǎng)eb瀏覽器可以用來(lái)在操作系統(tǒng)上站穩(wěn)腳跟,劫持互聯(lián)網(wǎng)流量或入侵在線帳戶。
提高網(wǎng)絡(luò)瀏覽器的安全性是需要多管齊下的方法,需要做好網(wǎng)絡(luò)安全基本功,確保持續(xù)的用戶教育,并擁有合適的檢測(cè)和響應(yīng)技術(shù)。
