top of page
  • 作家相片WIZON Team

當資安漏洞被發現後,您應該要知道的歷程與關鍵做法


資安漏洞

當漏洞遇到可利用(Exploitable),POC攻擊概念驗證

什麼是「POC攻擊概念驗證」

最近有部熱門的電影「奧本海默」講述世界武器-原子彈的研製過程,而你知道嗎?原子彈是從理論被驗證後而實現的結果。而套用到資安所說的「漏洞」,當一個漏洞被發現時它可能是個缺陷或問題,還不代表該漏洞是可以被拿來作為攻擊利用的,除非被進一步想到有方法可加以利用並產生某種程度或範圍的影響,而這個攻擊想法經過「概念驗證POC (Proof of Concept)」確認其可行性,因此當某個漏洞被確認POC攻擊驗證成立就意味著有攻擊手法可以達成,警鐘就此敲響。

基本上,不見得每個漏洞都是危險的,但是當發現漏洞的存在時就代表有安全風險的疑慮,假如這個漏洞是有可能被拿來利用作為攻擊,並且還被驗證出是可行的話就表示這個漏洞能被當作武器,假使驗證過程發現是容易就能達成的話,那就意味著這個漏洞「非常危險!」。


什麼是「POC攻擊概念驗證」


案例分享:「Follina漏洞」的POC概念驗證

先前我們所解說的「Follina漏洞」恰好是屬於可行性非常容易達成攻擊的類型,以下就針對Follina漏洞的攻擊模式進行POC驗證過程,希望在過程中的拆解說明能幫助您有更多的認識。

POC驗證過程簡述

我們模擬在受害者電腦執行惡意Word文件檔連線至中繼下載執行payload,進一步呼叫微軟支援診斷工具進行任意程式碼執行時,偵測到微軟Office程序呼叫執行其他子程序的可疑行為,判定為「可疑行為(Malicious Behavior)」並將程序終止。

Step 1:在實驗環境中,透過Kali系統模擬攻擊方來執行攻擊程式:cve-2022-30190.py,並在攻擊端建立駭客中繼站(C&C),等待受害者執行惡意 Word 文件檔,連線下載 payload。




Step 2 & Step 3:當受害者執行惡意MS Office Word文件檔,此時受害者電腦將連線至駭客中繼站(C&C)進行下載執行payload 載入含有惡意行為的網頁。




Step 3 & Step 4:在受害者電腦透過惡意MS Office Word 文件檔載入含有惡意行為的網頁後,則進一步呼叫微軟支援診斷工具MSDT執行。假如MSDT沒有修補Fillina漏洞的情況下,將會被利用遠端執行程式指令。



Step 5:攻擊方利用有漏洞問題的微軟支援診斷工具MSDT 來執行任意的程式碼進行惡意攻擊動作,在此模擬攻擊中我們透過「遠端呼叫執行受害者電腦的小算盤程式」來呈現攻擊結果。




接收到漏洞通報的關鍵做法

一個漏洞的發現到確認可被利用作為駭客攻擊武器的過程,有時很快就出現,有時則是經歷多時才會被找出適合的利用方式,但有更多時候是被利用在掩護的過程中。

從上述以「Follina漏洞 (CVE-2022-30190)」作為POC概念驗證的示範案例中,各位可以想像這個漏洞的可利用性很高、執行的做法難度低、環境條件很普遍,更重要的是很容易掩護。以現在的資安環境下,駭客的攻擊手法會採取不容易被察覺的方式並加上分段復合的程序,非常懂得利用受害者所相信的合法、不會懷疑的工具或行為,尤其是避開受害者環境中最常用的傳統資安防護工具: 電腦防毒及網路防火牆。

因此,當您再次接收到漏洞的情報時,先不用慌張,記得先查看或諮詢這些漏洞的幾個關鍵資訊:

  1. 您的環境中是否存在受影響的系統軟體版本?

  2. 漏洞公布的風險分數(CVSS) 以及 是否存在可被利用性(Exploitable)?

  3. 確認漏洞的攻擊概念驗證攻擊難易度及影響嚴重性?

  4. 評估環境受影響系統的可運用資安防護?

  5. 儘速著手漏洞的修補更新

或許您還是覺得有執行上的困難,也可以尋求我們的WIZON資安即服務,協助您快速、輕鬆、少負擔的做好資安防護。


Comments


bottom of page