【轉帖】2018年Windows漏洞年度盤點

2018年Windows漏洞年度盤點丨老漏洞經久不衰，新0day層出不窮

騰訊電腦管家2019-02-12共17875人圍觀 ，發現 1 個不明物體網絡安全資訊

 

https://www.freebuf.com/news/195195.html

 

前言

漏洞是影響網絡安全的重要因素，而漏洞攻擊做爲惡意攻擊的最經常使用手段，更是有着目標行業化、手段多樣化的趨勢，不管是我的仍是企業，都面臨着嚴峻的漏洞威脅。

2018年在轟動式的「幽靈」、「熔斷」兩大CPU漏洞中揭開序幕。「震網3漏洞利用挖礦」、「 412掛馬風暴」等安全事件發生代表，漏洞利用攻擊，再也不是 APT 組織的「專屬」，漏洞利用正往「低成本化」趨勢發展。過去一年，Windows、Office、IE 、Flash等高危漏洞頻繁被曝光，而各類野外漏洞利用更是攻擊層出不窮，更給我的和企業的網絡安全帶來了嚴峻的威脅。本報告主要重點分析 2018 年 Windows 平臺的漏洞攻擊態勢，並給我的和企業合理化的漏洞防禦建議。

2018年Windows平臺漏洞盤點

2018年對於安全行業是頗具考驗的一年，據安全數據庫網站cvedetails.com的漏洞提交數據統計，自1999年起，Windows操做系統的漏洞提交數量就呈逐年上漲的趨勢，而在近幾年達到了一個爆發期，今年的安全漏洞提交數相較過往三年同比上升最高超過40%，安全漏洞的數量和嚴重性創下歷史新高。

2018年Windows安全公告數量

在軟硬件漏洞遍地都是的今天，補丁管理做爲網絡安全最基礎的一環，就顯得尤其重要。在企業選擇產品時亦須要注意廠商對其產品安全性的投入，只有軟件/平臺開發商對於產品安全性投入高，產品纔有保障。微軟做爲全球知名的軟件開發商，對其名下產品的安全性投入是比較到位的，每個月都會進行維護髮布補丁修復安全漏洞。2018整年微軟共爲其產品 (Windows，IE/Edge，office等 ) 發佈了874個補丁，修復了728個漏洞，平均每個月修復多達60個漏洞。

Windows漏洞影響產品&系統分佈

2018年，在全部漏洞影響的Windows產品中，Windows系統組件漏洞佔到了35%的比例，瀏覽器漏洞佔25%，Office漏洞則佔比17%  。

根據騰訊御見威脅情報中心的數據監測，雖然Office和Adobe(主要是Flash) 被曝光的漏洞相對較少，但漏洞利用的比例最高。可見，黑客挑選漏洞時，更多是優先考慮漏洞利用的成本，並參考其攻擊目標人羣與產品用戶的重合度，而與產品自己漏洞量的多少並沒有正相關。

相比較2017年，2018年Office和.net的漏洞曝光量上升比較明顯，相對Windows系統組件漏洞，Office漏洞常被你們忽視，但卻備受黑客喜好，衆多專業黑客組織對重要目標的攻擊，會選擇使用Office高危漏洞，騰訊御見威脅情報中心再次提醒你們需及時安裝Office漏洞補丁，避免偶然打開一個文檔就被植入後門。

在全部Windows各版本中，受到最多漏洞影響的倒是Windows 10系統，這說明Windows 10已經是主流的操做系統版本，其漏洞曝光量正愈來愈多，同時提醒廣大用戶，即使使用最新版本的操做系統，也不可忽視漏洞風險，每月及時安裝安全更新是防範黑客入侵的必要步驟。

從2017年同比數據也能夠看出，Windows Server 2016上報告的漏洞數增長了近7%，同時可預測，針對新版服務器操做系統的漏洞也將愈來愈多。

2018年漏洞攻擊的地區&行業分佈

2018年漏洞攻擊地區分佈與當地經濟水平及信息化普及程度相關。2018年漏洞攻擊集中在北上廣三地，其中以國家政府機關、高科技人才和經濟富裕人士聚集的首都北京首當其衝。北上廣是全國經濟、政治和科技要地，更是走在中國國際化的前列，大量可見利益聚集，是不法黑客首選的攻擊目標。

根據騰訊御見威脅情報中心數據監測，Windows操做系統存在高危漏洞在教育、政府、衛生醫療行業佔比最高。

從受攻擊量的對比數據看，政府、教育、醫療衛生行業由於其系統存在大量高危漏洞未及時修復，所受攻擊次數也相對較高。而科技行業雖然漏洞存在量相對較少，受攻擊量倒是最高的，這樣從另外一方面說明，漏洞利用攻擊者一般是有目的針對性地採起攻擊，對科技行業的攻擊，泄取機密每每成爲首選目的。

國內用戶總體漏洞修復狀況&高危漏洞修復狀況

2018國內用戶總體漏洞修復中，Windows漏洞和.NET漏洞達到了70%以上的修復率，其次是IE、Flash和Office漏洞修復率徘徊在60%上下。總體漏洞修復率偏低能夠反映出國內的我的用戶目前的信息安全意識亟待提高，公衆對於安全漏洞的危害認知尚不到位。

而在四類高危漏洞（存在野外利用的漏洞）修復中，Windows高危漏洞達到了82%的修復率，其次是IE和.NET高危漏洞修復率約達到70% ，Flash和Office高危漏洞則修復率較低，僅有約50%。

Flash高危漏洞修復率偏低是因爲許多第三方軟件會自帶一個Flash插件，而微軟官方提供的Flash補丁僅能更新其中一小部分，沒法徹底覆蓋第三方瀏覽器目錄下的全部Flash插件，致使部分用戶電腦上的Flash漏洞較可貴到完全修復解決。

Office軟件自己對更新作的是相對較弱的提示，若是沒有第三方安全軟件的強提醒，通常用戶主動安裝補丁修復Office安全漏洞的較少；另外一方面，國內存在大量盜版Office用戶，而這些盜版鏡像每每通過鏡像製做者的修改，難以正常安裝補丁。對於重要的政府機構、企事業單位、科研機構來講，軟件系統的正版化對下降黑客入侵風險具備十分重要的意義。

Windows漏洞危害類型分佈&漏洞危害等級分佈

在2018年曝光的Windows平臺漏洞中，遠程執行代碼類漏洞達到了42%的高佔比，其次是信息泄露類漏洞和特權提高類漏洞各佔20%。遠程執行代碼類漏洞因爲其兼具隱蔽性與自由度，廣受黑客攻擊者歡迎，今年曝出的兩個IE「雙殺」0day漏洞（CVE-2018-817四、 CVE-2018-8373 ）就是被普遍利用於惡意攻擊的最好例子。

2018年曝光的Windows平臺漏洞中，「危急」等級 ( 漏洞危害最高等級 ) 的漏洞佔比23% ，「危急」等級的漏洞量依然佔據着較高的比例。

Windows漏洞利用病毒分佈&被利用的漏洞分佈

在2018年利用漏洞進行攻擊的病毒中，非PE（文件格式）佔了66%的高比例，而PE文件佔了31%。常見非PE漏洞攻擊病毒有Office宏類病毒、腳本類病毒。相比較PE，非PE病毒的攻擊手法更靈活，對安全軟件來講檢測非PE病毒更爲困難。

在已知的被利用的漏洞中 , 佔最大比例的MS04-028是一個發現於2004年的Windows GDI JPG解析組件緩衝區溢出漏洞，該漏洞可致使程序在處理JPEG文件時 (GDI+) 緩衝區溢出，這將會容許黑客執行惡意代碼。MS04-028是一個相對老的漏洞，由此能夠看出通過充分開發、穩定且容易反覆利用的漏洞，較受黑客攻擊者的歡迎；另外一方面，CVE-2017-8570佔了8%，以及一系列相對較新的漏洞利用佔比也開始愈來愈高，每每由於漏洞修復補丁未能及時修復等緣由，利用新漏洞的攻擊，更讓人措手不及。

2018年Windows平臺高危漏洞盤點

2018年1月 ，Microsoft Office公式編輯器再次曝出兩個高危漏洞CVE-2018-0798和CVE-2018-0802。CVE-2018-0798是Office公式編輯器在解析Matrix Record(0×05)的內容時，沒有對行與列的成員進行特定的長度校驗，這就致使黑客能夠經過精心構造內容任意指定後續讀入的行與列長度，從而形成棧溢出。CVE-2018-0802技術原理與之相似，微軟在1月9日經過發佈移除公式編輯器的補丁修復這兩個漏洞。

2月，Adobe Flash被曝出一個0day漏洞CVE-2018-4878。該漏洞影響版本在28.0.0.137如下的Adobe Flash，經過修改Flash腳本對象ByteArray的值至特殊長度來實現任意地址讀寫，實現漏洞利用，再將Adobe Flash Player嵌入Office文檔和郵件等載體中並誘使用戶打開的途徑快速傳播漏洞，在解析ATF文件時訪問內部數據結構使用了無效的指針偏移致使漏洞，成功攻擊後可能會致使敏感信息泄露。該漏洞在2月6日被修復；

3月，Ulf Frisk曝光了一個Windows內核提權高危漏洞Totel Meltdown(CVE-2018-1038 )。該漏洞是由微軟先前發佈用於修復「Meltdown」漏洞的補丁產生的新問題，補丁錯誤地將PML4權限設定成用戶級，可讓任意進程讀取並修改頁表項目，該漏洞僅影響Windows7 x64和Windows Server 2008 R2系統，並在3月29日被修復；

4月，Internet Explorer被曝出一個0day漏洞「雙殺」（CVE-2018-8174）。該漏洞經過VBScriptClass::Release函數中存在的缺陷訪問未分配內存，從而觸發漏洞達到任意地址讀寫的目的。該漏洞經過精心構造的頁面或往郵件或Office文檔中嵌入VBScript腳本便可觸發，危害性較強，也所以被命名爲「雙殺」漏洞，且一遭曝光便第一時間被APT組織利用於黑客活動。該漏洞於5月8日被修復；

5月，Windows操做系統和Adobe Acrobat/Reader PDF閱讀器被ESET公佈了兩個捆綁在一塊兒的0day漏洞。（CVE-2018-8120、CVE-2018-4990）這是源於ESET在3月捕獲的用於攻擊測試的一個PDF樣本。CVE-2018-4990其實是一個堆內存越界訪問任意地址釋放漏洞，原樣本精準地使用堆噴射佈局內存，而後釋放兩塊大小爲0xfff8的相鄰堆塊，在Windows堆分配算法將堆塊合併後，利用該堆塊改寫一個ArrayBuffer對象的長度爲0×66666666從而實現任意地址讀寫。CVE-2018-8120則是因爲內核函數SetImeInfoEx未對其目標窗口站tagWINDOWSTATION的指針成員域spklList的指向地址進行有效性校驗，而是直接進行讀取訪問。這兩個漏洞已在5月被修復；

6月，Windows 10被曝出一個0day漏洞（CVE-2018-8414）。這是一個Windows Shell遠程執行代碼漏洞，因爲Windows Shell在某些狀況下會不正確地驗證文件路徑，經過精心構造的惡意腳本觸發該漏洞，能夠達到任意讀寫的目的。該漏洞僅適用於Windows 10的新文件類型「.SettingContent-ms」 ，該漏洞直到8月14日才正式分配CVE編號並修復。

7月，Internet Explorer被曝光0day漏洞「雙殺」二代（CVE-2018-8242），它的出現是因爲4月「雙殺」一代（CVE-2018-8174）的修復補丁並未徹底解決漏洞，致使VBScript腳本引擎中仍存在相似問題，該漏洞由360Vulcan團隊發現並提交，並在7月10日被修復；

8月，Exchange Server被公開了一個內存損壞漏洞（CVE-2018-8302）的POC，攻擊者可以使用釣魚攻擊觸發漏洞利用攻擊企業用戶計算機，並再次發起攻擊直至接管Exchange Server服務器。Exchange對語音郵件的接收存儲過程當中，會轉換語音郵件讀取TopNWords.Data並經過.NET BinaryFormatter對它反序列化，該漏洞就存在於反序列化過程當中。 

Internet Explorer被Trendmicro曝出0day漏洞「雙殺」三代（CVE-2018-8373），它基於與「雙殺」一代類似的原理，經過VBScript.dll中存在的缺陷獲取任意讀取權限。兩例漏洞都於8月14日被修復； 

9月，Windows被曝出ALPC提權0day漏洞（CVE-2018-8440），它經過高級本地過程調用(ALPC)函數中 SchRpcSetSecurity函數沒法正確檢查用戶權限的缺陷，得到本地權限提高(LPE)來執行惡意代碼。 

Microsoft Jet Database Engine被公開了一個遠程代碼執行0day漏洞（CVE-2018-8423）的POC，該漏洞是一種越界（OOB）寫入漏洞，可誘導用戶打開包含以JET數據庫格式存儲的數據的特製文件，經過對象連接和嵌入數據庫（OLEDB）的Microsoft組件打開Jet 源來觸發漏洞，發起攻擊。兩例漏洞分別於9月11日和10月9日被修復； 

10月，Microsoft Edge被公開了一個關於Windows Shell的RCE高危漏洞（CVE-2018-8495）的POC，攻擊者可使用該漏洞利用POC，經過Microsoft Edge構造包含特殊URI的網頁，誘導用戶打開便可實如今遠程計算機上運行惡意代碼。漏洞是因爲Windows Shell處理URI時，未過濾特殊的URI所致使（如拉起腳本的Windows Script Host的URI爲wshfile）。 

Windows被曝出一個Win32k提權0day漏洞（CVE-2018-8453），它的利用過程較爲複雜，簡言之是利用了在win32k.sys組件的win32kfull!xxxDestroyWindow函數中的UAF漏洞從而獲取本地提權。兩例漏洞都於10月9日修復； 

11月，Windows再被曝出Win32k提權0day漏洞（CVE-2018-8589）。它的出現是因爲在win32k!xxxMoveWindow函數中存在不恰當的競爭條件，致使線程之間同時發送的信息可能被不當鎖定。該漏洞已在11月13日被修復；

12月，Microsoft DNS Server被曝光存在一個堆溢出高危漏洞（CVE-2018-8626）。全部被設置爲DNS服務器的Windows服務器都會受到此漏洞影響。攻擊者向Windows DNS服務器發送精心構造的漏洞利用惡意請求，以觸發堆溢出並遠程代碼執行。漏洞於12月11日發佈補丁修復。 

Windows連續第四個月被曝出0day漏洞。此次是一個更加高危的kernel內核事務管理器驅動程序的提權漏洞（CVE-2018-8611），它是源於kernel模式下對文件操做的不當處理引起內核事務管理器產生競爭條件，此漏洞繞過了如今主流瀏覽器的進程緩解策略而從實現沙箱逃逸，這可以讓黑客在web上構建完整的遠程代碼執行攻擊鏈。該漏洞最初在10月29日被發現，微軟於12月11日分配CVE號並公佈修復補丁； 

2018典型漏洞安全事件

2018年的安全行業，可謂是「熱鬧非凡」。前有勒索病毒野火燒不盡，春風吹又生；後有隨着區塊鏈概念被炒熱，挖礦掛馬頻出；上有APT組織針對企業、政府、科研機構、事業單位的定向攻擊；下有針對外貿行業的「商貿信」釣魚郵件和針對我的用戶的釣魚郵件攻擊，小規模爆發。

而專業APT組織的攻擊手法，對普通病毒木馬黑產起到教科書般的指導和示範做用，導致高危漏洞的利用從高端到大衆快速傳播普及，高危漏洞對信息安全的影響力之大，由此即可見一斑。

「新一代幽靈」——英特爾CPU漏洞持續升級

繼年初發現的CPU漏洞Meltdown和Spectre後，英特爾處理器在2018年5月初又被Google Project Zero安全研究團隊曝出發現8個新的「幽靈式」硬件漏洞，被稱爲「新一代幽靈」——Spectre-NG。利用該漏洞可繞過雲主機系統與虛擬機的隔離，實現虛擬機逃逸，竊取機密信息。而且，利用該漏洞還能夠攻擊同一服務器的其它虛擬機。

然而，在下半年再次發現了英特爾CPU存在TLBleed、Foreshadow、PortSmash等多個超線程漏洞。11月初發現的PortSmash漏洞（CVE-2018-5407）影響全部支持超線程技術的Intel處理器。利用該漏洞，攻擊者所在的進程能夠竊取運行在同一個物理內核的另一個進程的隱私數據，安全研究人員已經實現從OpenSSL進程中竊取私鑰。

一系列的CPU漏洞，對芯片漏洞的修復一樣一波三折，倉促發布的補丁帶來新的風險，同時致使CPU性能降低，補丁不得不發行了多個版本，最終促使英特爾加快新一代處理器的發佈進程，併成爲把超線程技術完全砍掉的最後一根稻草。

Office公式編輯器再曝新漏洞，商貿信釣魚攻擊屢試不爽（CVE-2017-1188二、CVE-2018-080二、CVE-2018-0798）

Office公式編輯器漏洞（CVE-2017-11882）是典型的棧溢出漏洞，存在於Eqnedit.exe組件中，該漏洞影響全部Office版本且極易利用，因爲該漏洞在2017年11月14日僅僅被Windows添加了ASLR（地址隨機化）漏洞緩解措施，實際上並未真正修復，且大量用戶並不升級Office補丁，所以至今仍能見到許多野外攻擊案例。

2017年12月20日，騰訊御見威脅情報中心就發現Eqnedt32模塊還存在其餘漏洞，同時捕獲了一例「黑鳳梨」（BlackTech）APT組織利用Office公式編輯器中的0day漏洞（CVE-2018-0802）進行攻擊的樣本，該樣本採用魚叉攻擊的方式將攜帶惡意代碼的Office文檔假裝成辦公文件進行傳播，影響範圍較爲普遍。

2018年1月9日，Office公式編輯器再曝出新漏洞，此次Windows乾脆直接經過刪掉公式編輯器的途徑來修復漏洞，一了百了。但漏洞補丁剛發佈一週，就已開始出現多例CVE-2018-0798漏洞的變種和在野利用。

2018年2月26日騰訊御見威脅情報中心捕獲到doc文檔樣本利用了CVE-2017-11882，經過下載並運行已被公開源碼的「波尼」木馬，竊取用戶比特幣錢包文件等敏感信息。

2018年6月1日，騰訊御見威脅情報中心再次檢測到針對中國進出口企業投放的，利用CVE-2017-11882的大規模「商貿信」攻擊，此類攻擊郵件的投放量天天達上千封之多，病毒變種也層出不窮。

由此能夠預見，將來至關長的一段時間內，魚叉攻擊+簡單易用又十分符合辦公場景的Office公式編輯器漏洞，仍會成爲備受歡迎的針對中小型企業的攻擊手段之一。

Adobe系列產品屢次報警，0day漏洞屢遭曝光

Adobe Flash再曝0day野外利用（CVE-2018-487八、CVE-2018-5002）

2018年2月1日，Adobe官方發佈了安全通告（APSA18-01）稱一個最新的Adobe Flash零日漏洞被發現用於針對韓國地區的人員發起魚叉攻擊。該0day漏洞編號爲CVE-2018-4878，官方已於2月5日發佈補丁進行修復。漏洞公佈後，隨即發現大量垃圾郵件迅速利用該漏洞進行傳播，攻擊者發送帶有短連接的惡意Word文檔的電子郵件，在下載並打開Word文檔後，利用該漏洞打開命令行，再用連接到的惡意域的惡意shellcode遠程注入命令，下載一個名爲m.db的DLL文件，並使用regsvr32進程執行，完成攻擊鏈。

CVE-2018-5002則在2018年6月7日被發現野外利用，由APT組織Hacking Team經過即時聊天工具或郵箱發送包含外交部官員基本工資狀況（阿拉伯語）的釣魚文檔進行攻擊，在誘餌文檔被用戶打開後在宿主進程excel中執行惡意代碼，並利用假冒的網站做爲木馬下載站達成進攻目的。攻擊者將Loader、Exploit、Payload實行分離部署，加大安全工程師逆向還原漏洞利用代碼的難度，顯然是通過精心準備。

該APT組織費盡心思精心構造了攻擊鏈，並使用0day漏洞攻擊政府相關部門，可見其具備必定的政治意圖。

Adobe Reader被發現0day漏洞在野利用攻擊（CVE-2018-8120、CVE-2018-4990）

2018年5月15日， ESET捕獲了一個使用兩個0day漏洞聯合進行攻擊的PDF樣本，其中包括一個Adobe Reader的0day漏洞（CVE-2018-4990）和Win32k的內核提權0day漏洞（CVE-2018-8120）。

CVE-2018-8120是Win32k特權提高漏洞，CVE-2018-4990是Adobe Acrobat/Reader的堆內存越界訪問任意地址釋放漏洞，攻擊樣本經過CVE-2018-4990獲取代碼執行權限，再經過利用內核提權漏洞繞過Adobe Acrobat/Reader的沙盒保護並實現任意代碼執行。而有意思的是該樣本僅是一個測試樣本，兩個0day漏洞還沒來得及利用於攻擊便已被修復。

老漏洞被反覆利用，「永恆之藍」是否真的永恆？

多數黑客進攻我的電腦和企業服務器的目的，仍是從不法途徑謀取利益。每每是美味的蛋糕在哪裏，不法黑客的身影就出如今哪裏，病毒與木馬也就如影隨形地進攻到哪裏。而這批利益至上的黑客們，對易用又穩定的老漏洞可謂是愛不釋手，讓咱們再來看看2018年那些利用老漏洞進行攻擊的熱點安全事件。

「永恆之藍」系列漏洞：從勒索病毒到挖礦木馬

「永恆之藍」是一個於2017年被曝光的，存在於445端口上的SMB文件共享協議漏洞，不法分子利用此漏洞獲取系統最高權限，將病毒木馬等惡意軟件植入Windows系統。近兩年來，「永恆之藍」漏洞已經成爲被利用程度最高的安全漏洞之一。

勒索病毒主要經過三種途徑傳播：漏洞利用、釣魚郵件和廣告。其中經過漏洞發起的攻擊佔攻擊總數的80%以上，典型案例就是以利用「永恆之藍」漏洞主動傳播的蠕蟲式勒索病毒。「永恆之藍」(WannaCry)能夠說是開啓了勒索病毒的新時代，並將這樣的勢頭延續到了今年。另外，隨着區塊鏈的概念愈加火熱，今年愈來愈多的人加入炒幣行列，而不法黑客天然不會放過這個牟利的好機會。

今年3月，騰訊御見情報威脅中心就捕獲一個門羅幣挖礦木馬WannaMiner利用「永恆之藍」漏洞在局域網內傳播，將染毒機器打形成龐大的僵屍網絡，長期潛伏挖礦，國內600多家企業超3萬臺電腦受到感染；

今年5月，捕獲一款門羅幣挖礦木馬「微笑」經過掃描「永恆之藍」漏洞攻擊企業服務器悄悄在後臺進行挖礦。該木馬從3月就開始活動，截至5月，其已經累計挖取846枚門羅幣，挖礦收入一度高達120萬人民幣；

6月1日，捕獲一款Glupteba惡意代理木馬利用「永恆之藍」漏洞在局域網迅速傳播，感染量激增；

今年8月，臺積電曝出遭受WannaCry勒索病毒攻擊致使產線癱瘓，形成25.96億新臺幣損失；

8月9日，捕獲蠕蟲病毒bulehero利用「永恆之藍」漏洞在企業內網攻擊傳播；

11月，又有一家知名半導體企業合晶科技，其位於大陸的工廠全線感染WannaCry勒索病毒，形成產線癱瘓，工廠所有停產。

因爲越大型的單位和機械系統，越追求穩定性，使用的越是win7sp0、xp等微軟早已中止提供更新服務的操做系統，所以存在大量沒法及時修復的漏洞。而只要漏洞場景存在，安全威脅就不會消失，與勒索病毒和挖礦木馬的抗爭，就必須持續進行下去。

國內首例利用「震網3」LNK漏洞實施挖礦

2018年3月，騰訊御見威脅情報中心監測到，國內首例使用U盤做爲傳播載體，利用lnk遠程代碼執行漏洞（CVE-2017-8464）做爲主要傳播手段的門羅幣挖礦木馬。

病毒樣本經過利用Lnk漏洞執行惡意代碼，還會自動感染其它插入的可移動磁盤。使用U盤做爲傳播載體，可被用來攻擊基礎設施、存放關鍵資料的核心隔離系統等，對政企單位的內網安全有較大威脅。因爲該次攻擊主要影響羣體爲頻繁使用U盤進行文件傳送的局域網用戶，使得校園和政企等單位頻頻中招。

其實「震網3」這種經過快捷方式產生的漏洞自己沒什麼技術含量，但因爲其超連接的特性可以執行系統上任意程序或腳本，自由度極高且隱蔽性強而在漏洞利用攻擊中喜聞樂見。

「412」掛馬風暴（CVE-2016-0189）

2018年4月12日，騰訊御見威脅情報中心監控到大量客戶端的內嵌新聞頁中被嵌入惡意代碼，致使用戶在毫無知情的狀況，被植入挖礦木馬、銀行木馬、以及遠控木馬等。本波掛馬波及到的客戶端多達50多個，影響超過20w用戶，影響面很是之廣。該掛馬利用了一個2016年3月的vbscript腳本引擎損壞漏洞（CVE-2016-0189）來下載惡意腳本。CVE-2016-0189與今年新的IE「雙殺」0day漏洞CVE-2018-8174同樣，曾經是一個被用於APT攻擊的0day漏洞，該漏洞利用了VBScript腳本引擎vbscript.dll中存在的數組訪問越界問題來執行惡意代碼。

能夠看到，黑客們也會「偷懶」，幾乎全部被大量使用的漏洞，都是那些簡單易用、穩定又成功率高的漏洞。對於黑客而言，除非是爲了完成一些特殊的任務，不然那些漏洞利用中的技術壁壘則是必需要考慮的因素之一。

Windows下半年頻現0day漏洞

今年是0day漏洞持續爆發的一年，Windows系產品可謂是多災多難，不只在補丁發佈和Win10子版本升級方面BUG頻出，讓用戶叫苦連天；更是在短短半年時間內被連續曝出10個0day漏洞，7個已發現野外利用，而其中有6個在被發現的短短几天時間內，就迅速被APT組織利用於盜竊企業、政府機構的機密信息，0day漏洞的重要性，從這些黑客的手上就可以讀懂。

「雙殺」 0day漏洞被APT組織DarkHotel（黑店）APT組織利用（CVE-2018-817四、CVE-2018-824二、CVE-2018-8373）

2018年4月18日，首個IE「雙殺」系列漏洞CVE-2018-8174的在野攻擊樣本被發現，由此開啓了Windows下半年每個月「穩定供應」一個0day漏洞的節奏。

據報道稱，該樣原本自一個被命名爲Darkhotel(APT-C-06) 的APT組織。該APT組織善於利用高危漏洞針對企事業單位進行定向攻擊，竊取國家機密，DarkHotel早在年初就利用Office公式編輯器漏洞發起過針對政府單位的攻擊。

在接下來的7月、8月裏，Internet Explorer又相繼被曝出「雙殺」二代（CVE-2018-8242）和「雙殺」三代（CVE-2018-8373）0day漏洞。DarkHotel組織再度使用相同的攻擊技術，利用「雙殺」三代針對企業高管、國防工業、電子工業等重要機構發起定向攻擊。

除被APT組織屢次利用外，「雙殺」一代（CVE-2018-8174）還在6月16日被騰訊御見威脅情報中心捕獲到一個木馬傳播利用的案例。一款名爲「流量寶流量版」的軟件在軟件內嵌的 IE 瀏覽器中利用該漏洞執行shellcode並下載DDoS木馬和挖礦木馬等將受害電腦控制爲肉雞。來自該樣本的漏洞利用攻擊請求次數，最高曾高達30多萬次。

APT組織Darkhydrus和摩訶草對CVE-2018-8414的利用

2018年6月，一種關於Windows 10新引入的文件類型「.SettingContent-ms」的任意代碼執行攻擊技巧被公開了POC，該漏洞一遭公開就迅速被不法黑客和APT組織利用。在野外攻擊中，捕獲多個利用該0day漏洞的攻擊樣本。

據報道，曾發現Darkhydrus使用該漏洞利用技術，用於投遞DNS隧道通訊攻擊，另外，疑似APT組織摩訶草也曾利用該漏洞投放攻擊樣本。

直到2018年8月14日微軟才發佈相應漏洞補丁並給予漏洞編號CVE-2018-8414 。

APT組織FruityArmor對CVE-2018-8453的利用

CVE-2018-8453是一個位於win32kfull!xxxDestroyWindow函數中的UAF遠程代碼漏洞，該漏洞最先在8月由卡巴斯基實驗室發現被APT組織FruityArmor利用於近期的攻擊活動中，據悉，卡巴斯基實驗室捕獲的攻擊樣本使用的shellcode長期以來只被FruityArmor在C2領域所使用，而此次，FuityArmor利用該漏洞發起的攻擊彷佛有高度針對性，僅影響了中東地區的十幾名用戶。

APT組織SandCat對兩個0day提權漏洞的利用（CVE-2018-858九、CVE-2018-8611）

10月17日，卡巴斯基實驗室發現一例APT組織SandCat針對中東地區用戶進行的小範圍針對性攻擊，該攻擊利用了Windows Win32k本地提權漏洞CVE-2018-8589，該漏洞僅影響Windows 7 x86以及Windows Server 2008操做系統，暫時僅被發現利用於 APT 活動。

而該漏洞被發現還不到一個月，在10月29日，再次發現一個新的Windows內核提權0day漏洞CVE-2018-8611被同一組織利用。新的漏洞能夠繞過了主流web瀏覽器的沙箱，相較於CVE-2018-8589而言更具威脅性。

Windows下半年被曝出的0day漏洞，幾乎都是經過APT組織投放的攻擊樣本發現，能夠看出APT組織較喜好利用0day漏洞，以達到出其不意，一擊必殺的目的，且將攻擊影響範圍縮到最小，確保攻擊活動的隱匿性。

如何作好漏洞防禦

我的用戶漏洞防禦

及時修復安全漏洞開啓安全軟件實時防禦

防範漏洞攻擊最直接有效的方法就是使用新版本的系統，而且及時修復系統環境中存在的安全漏洞。騰訊電腦管家漏洞雲庫收集了超過千款補丁，支持Windows，Office，Flash等產品的漏洞修復，採用快速修復引擎，下降50%的漏洞修復時間，100%還原windows update功能，保證了漏洞修復的準確性和系統兼容性。而且開啓電腦管家實時防禦能夠有效攔截利用漏洞觸發傳播的病毒，有效彌補因各類緣由未能及時修復漏洞的不足。

培養良好的計算機使用習慣

我的需提升計算機網絡安全意識，不輕易下載不明軟件程序，不輕易打開不明郵件夾帶的可疑附件，注意識別&不輕易打開可疑的網站，及時備份重要的數據文件。

企業用戶漏洞防禦

創建有效的漏洞情報監控體系，建設完善的漏洞補丁管理能力

創建起有效的安全情報監控體系，密切關注各大安全媒體如「御見威脅情報中心」的威脅情報預警。

同時須要作好生產力工具的安全管理，積極安裝最新補丁，修復漏洞，時刻保證我的/企業使用的設備、軟件、硬件的安全性，縮短漏洞平均存續期，能夠大大減小被不法分子攻擊的可能。使用騰訊御點終端安全管理系統能夠全網統一安裝系統補丁，提高客戶端的安全性。

安全演練，培養員工良好的信息安全意識

按期組織企業信息安全演練，以釣魚郵件、釣魚網頁、社會工程等擬真攻擊手段來提升員工安全意識，能使員工對信息安全有更深入的印象與認識，從終端杜絕安全威脅。

回顧2018，展望2019

回顧2018，勒索病毒、挖礦木馬大行其道，智能合約、智能硬件、人工智能等新技術帶來新趨勢的同時更帶來新的安全威脅，全球各領域漏洞提交數量持續上漲而0day漏洞正變得愈發常見，全球各行各業的重大信息泄露事件層見迭出，APT組織帶有政治意味的攻擊也愈發猖狂，國際信息安全態勢正處於弓弦逐漸緊繃的時刻，而做爲信息安全守護者的咱們，更應該時刻思考如何應對新的變化，永遠作好迎接全新挑戰的準備 。

思惟進化，道高一丈

2018年12月，國內黑客就用一塊兒典型的、針對軟件供應鏈發起的攻擊結合利用漏洞傳播木馬的安全事件（廣東省深圳市某知名軟件廠商軟件升級通道傳播木馬），拉開了安全攻防新時代的巨幕。在技術革新不斷髮生的時代，「進攻方」的手段在不斷演化升級，做爲「防守方」更要時刻開闊眼界，與時俱進，不死守陳舊的防守觀，追求 「 魔高一尺道高一丈 」 ，才能真正成爲信息安全的守護神。

千里之堤毀於蟻穴，人永遠是最大的漏洞

釣魚、廣告甚至社會工程學等傳統、低技術含量的手段可以屢試不爽，成爲黑客們最喜好的傳播病毒、木馬的手段，偏偏說明了信息安全中最大的漏洞仍是在人身上。低技術含量的攻擊手段自己，就是個高效的篩選器，能夠過濾掉那些對計算機和網絡十分了解的精明用戶，將安全意識低下的目標人羣篩選出來，真正地達到高精準的定點攻擊，基於這樣的狀況，企業、政府等機構更是須要多進行安全事件演習，增強業務人員的信息安全意識，才能在真正意義上 「 修復漏洞 」 ，保障信息安全。

需建設多維、立體的安全能力體系

安全漏洞涉及計算機的方方面面，企業信息安全不能再只做簡單的網絡隔離，更要全方位地增強企業生產力設備中網絡、軟件、硬件的安全性，作好補丁管理及時更新企業軟硬件，並建設必定的漏洞檢測、安全應急響應、威脅情報監控、攻擊溯源追蹤能力，才能擁有一道更堅固的信息安全防火牆。