本文来自微信公众号“嘶吼专业版”,作者/布加迪。
近日Firefox用户被敦促使用Mozilla的最新更新,来堵住一个可能允许攻击者控制受影响系统的严重漏洞。在此之前,微软Edge、谷歌Chrome和苹果Safari浏览器都进行了类似的更新,所有这些浏览器都受到WebP代码库中一个漏洞的严重影响。
虽然WebP漏洞也影响其他软件,但浏览器无疑是终端用户设备上一种最普遍、最广泛使用的应用程序,在受感染的浏览器中站稳脚跟,威胁分子就可以访问敏感信息,并获得潜入目标环境的潜在途径。
本文深入探讨了浏览器安全,介绍漏洞和漏洞利用工具、零日漏洞和N日漏洞之间的区别,并重点介绍2023年的几大浏览器漏洞,讨论了威胁分子如何通过浏览器软件实施各种攻击,末尾还附有帮助企业加强浏览器安全性的指南。
关键概念|漏洞与漏洞利用工具的区别
漏洞本质上是软件、硬件或系统中可能被利用的弱点或缺陷,这些可能是因编码错误、配置错误或设计缺陷而造成的,它们无意中为安全威胁敞开了大门。
漏洞可能存在于技术的方方面面,包括操作系统、应用程序、网络协议,甚至是人类行为,不是每个漏洞都能被利用,也不是每个漏洞都会导致代码执行或数据丢失。
恶意分子将漏洞转化为漏洞利用工具的可能性和难易程度,以及该漏洞代码工具可能被用来执行的操作,是理解漏洞严重性等级这个概念的一种非正规方式。可以在这里(https://nvd.nist.gov/vuln-metrics/cvss)找到对CVSS和漏洞度量指标的更正规的理解。
利用是主动利用漏洞实施恶意行为的行动。它包括利用已识别的弱点来获得未经授权的访问、破坏数据、扰乱服务或执行其他有害活动,利用表现为多种形式,比如代码执行、特权升级、数据盗窃或者远程控制受感染系统。
漏洞和利用是Web浏览器安全中两个不同但又相互关联的概念。虽然今天的Web浏览器代码中可能存在许多漏洞,但并非所有漏洞都可以被利用或被威胁分子积极利用。
未修补漏洞|了解零日和N日漏洞
当攻击者发现零日漏洞时,他们有机会在开发者意识到并发布安全补丁之前利用它。“零日”这个名字源于一个令人不安的事实,即由于开发者没有意识到漏洞,他们没有时间(零日)来修复,在一个未打补丁的漏洞被公之于众后,从那时起,它常被称为N日漏洞,其中N表示从发现到发布补丁的天数。
零日漏洞和N日漏洞都是机会窗口,让网络犯罪分子可以趁机破坏用户数据、传播恶意软件或未经授权访问系统,利用这些漏洞可能会产生深远的后果,影响各种平台上的大量用户。Web浏览器中的零日漏洞是网络安全最重要、最具挑战性的方面之一。
2023年主要浏览器的被利用漏洞
WebP漏洞不是最近影响互联网浏览器的唯一CVE。谷歌在2023年为Chrome增添的补丁包括针对以下漏洞:
•CVE-2023-2033(CVSS分数:8.8)—V8中的类型混淆
•CVE-2023-2136(CVSS分数:9.6)—Skia图形库中的整数溢出
•CVE-2023-3079(CVSS分数:8.8)—V8中的类型混淆
•CVE-2023-4863(CVSS分数:8.8)—WebP中的堆缓冲区溢出
•CVE-2023-5217(CVSS分数:8.8)—libvpx中vp8编码的堆缓冲区溢出
与此同时,苹果今年也针对WebKit(为Safari及其他Web应用程序提供支持的浏览器引擎)中相当数量的零日漏洞发布了补丁。
•今年2月,针对WebKit零日漏洞CVE-2023-23529发布了补丁,该漏洞被用于攻击,以便在iPhone、iPad和Mac设备上执行代码。
•4月,WebKit释放后使用漏洞CVE-2023-28205被修补,以防止可能导致攻击者在受损设备上执行代码的漏洞。
•5月,三个WebKit漏洞CVE-2023-32409、CVE-2023-28204和CVE-2023-32373在被报告用于攻击后得到了修补。
•7月,苹果修补了WebKit中的CVE-2023-37450漏洞,该漏洞也被广泛利用。
Mozilla在2023年也修补了多个漏洞,包括CVE-2023-34414、CVE-2023-34416、CVE-2023-4584/5以及Firefox 118中的严重漏洞CVE-2023-5217,最后一个漏洞与已知被大肆利用的libvpx(WebP)漏洞有关。
近日,微软Edge同样针对WebP漏洞打了补丁。此外,去年8月的补丁星期二还修复了两个被大肆利用的零日漏洞:CVE-2023-36884和CVE-2023-38180,以及另外23个远程代码执行漏洞(其中6个被评为是“严重漏洞”)。
与其他许多流行的浏览器:Vivaldi、Brave和Opera一样,Edge是一款基于Chromium的浏览器,所以谷歌Chrome中的许多同样漏洞也适用于这些浏览器和Edge。
扩展和附件|扩大攻击面
虽然浏览器本身是一个容易下手的攻击面,但浏览器扩展、插件和附件也是恶意软件(尤其是信息窃取器)的攻击途径。
比如说,随着ChatGPT日益普及,威胁分子紧跟AI潮流,制作虚假的ChatGPT浏览器扩展,以劫持数千个Facebook企业账户,并传播一个名为“快速访问ChatGPT”的恶意信息窃取器。
一些下载网站中也发现了恶意扩展。今年6月,谷歌从Chrome Web商店中删除了32个恶意扩展,这些扩展的下载量总计超过7500万人次,这些鬼鬼祟祟的代码不仅包含用户期望的合法功能,还包含经过混淆处理的恶意代码。在一个例子中,PDF工具箱扩展被用来将JavaScript注入到访问扩展的每个网站用户。虽然不清楚攻击者的目的是什么,但这种技术可以用来劫持搜索结果,并注入恶意链接。
虽然谷歌已采取行动从其Web商店中删除了已识别的扩展,但这种删除并不会自动从浏览器中停用或卸载这些扩展。
浏览器小心|网站提供(虚假)Chrome更新
由于浏览器的使用如此广泛和持续,它们也可能为社会工程活动提供很好的诱饵。威胁分子使用恶意或有毒的网站来欺骗用户,让他们以为浏览器需要更新才能查看网站,然后向用户提供恶意下载,佯装这是所需的更新。
在最近此类活动的一个例子中,安全研究人员发现了一种新的IDAT加载器,它被用来投放Stealc、Lumma和Amadey之类的信息窃取器。该活动谎称自己是Chrome浏览器更新,将受害者重定向到另一个自动下载二进制文件的URL,在打开虚假的更新二进制文件“ChromeSetup.exe”之后,它进而下载下一阶段的载荷。
插件和跨站脚本(XSS)漏洞
跨站脚本(XSS)是一种常见的Web应用程序安全漏洞,将恶意代码注入到网站或Web应用程序中,然后将其提供给访问该网站的其他用户。XSS攻击常通过Web浏览器来执行。
CVE-2023-30777于2023年5月被发现,这是WordPress高级自定义字段PRO插件(版本6.1.5及更早)中的一个漏洞。该漏洞允许攻击者注入恶意脚本或其他HTML载荷,有人访问包含这个高危插件的网站时,载荷就会执行。
XSS漏洞还允许攻击者将恶意脚本(常用JavaScript编写)注入到Web应用程序的输入字段或用户生成的其他内容区域。这些脚本可以隐藏在看起来无害的数据中,比如评论、搜索查询或表单提交。当不知情的用户访问受感染的网页时,他们的Web浏览器会将注入的脚本作为页面内容的一部分来呈现。
恶意广告|浏览器软件的顽疾
由于浏览器的主要目的是访问网站并呈现内容,因此它们不可避免地受到出现在这些网站上的恶意代码的滥用,这类代码的一种更常见的形式是恶意广告,即传播恶意软件的在线广告。
不法分子像普通企业一样购买广告位,常使用自动化系统下订单。然后,他们创建嵌入恶意代码的广告,并通过合法的广告网络发布。
就连大受欢迎、备受信赖的网站也被发现无意中提供恶意广告。恶意广告可以用来投放无需用户交互的下载件:只要浏览器存在某些漏洞,或者广告中含有恶意链接,就能触发下载件。
浏览器广告软件|不仅仅很烦人
广告软件是一种祸害,在未经用户同意甚至不知情的情况下在设备上显示侵入性广告。广告软件常常与Web浏览器扩展或插件捆绑在一起安装,一旦安装上去,广告软件就会跟踪用户的在线行为,收集数据,然后显示针对性的广告为广告商大作宣传。此外,广告软件可能会将用户的Web浏览器重定向到特定的网站或收集个人信息。
广告软件通过消耗宝贵的系统资源和带宽来降低系统性能,最令人担忧的是,广告软件可以充当其他恶意软件的渠道,包括间谍软件和勒索软件。广告软件开发者是最高明的开发群体之一,他们经常使用类似恶意软件的混淆手法和反分析技巧来避免用户或安全软件的检测和删除。
提高Web浏览器的安全性
虽然浏览器供应商不断提供补丁更新,并开发新的扩展和附件来应对产品中的风险,但组织本身也可以尽量减少威胁,并保护浏览会话。
1.做好浏览器安全基本功
•及时更新浏览器软件是网络安全的一个重要方面。大多数流行的浏览器会在重新启动时自动更新和/或在更新可用时提供通知,为了确保更新是正规的,应该始终通过浏览器内置的更新机制进行更新,应该避免手动下载,并且在任何情况下只从开发者的官方软件更新网站获取。
•为了方便,Web浏览器通常提供保存密码的选项。然而,这种便利是以牺牲安全性为代价的,如果将密码存储在浏览器中,一旦安全泄密,密码就更容易被窃取。替代方案是,改而使用信誉良好的密码管理器,密码管理器不仅可以安全地存储凭据,还可以为每个帐户生成独特的强密码。
•书签也有助于提升浏览器安全。网络犯罪分子可以在经常访问的网站上设计骗局,诱骗用户输入凭据和敏感信息,为了降低这种风险,对经常使用的网站使用书签,这就降低了意外遇到假冒网站的可能性。
2.编写面向全组织的浏览器政策和培训材料
组织领导可以与IT团队合作,确保基本的浏览器安全做法实现自动化。如果针对管理弹出窗口制定最佳实践设置、打开自动更新和只下载IT部门认可的浏览器安全附件,所有级别的用户都可以安全地浏览互联网。
在用户层面,要求持续的网络安全培训有助于建立更好的防御态势,并保护企业的数字资产,用户可以学会发现常见的威胁,比如网络钓鱼攻击、恶意下载和欺骗,然后立即标记问题。网络安全培训还强调了保持浏览器和相关软件版本最新的重要性,以及在浏览器中存储敏感数据的相关风险。
3.购置威胁检测和响应解决方案
拥有可靠的检测和响应能力是确保Web浏览器会话安全的关键。XDR通过整合来自各数据源(包括Web浏览器)的数据,提供了一种全面的安全方法。这意味着安全团队可以对所有系统保持警惕,实时发现潜在威胁和大肆利用的浏览器漏洞。
XDR解决方案还使用高级分析和机器学习(ML)算法来检测异常或可疑的浏览器行为,帮助组织查明基于浏览器的漏洞,以免漏洞演变成全面攻击。通过分析用户活动、网络流量和端点数据,XDR系统可以识别不然可能被忽视的威胁或恶意活动的迹象。
在基于浏览器的网络攻击环境中,XDR允许安全团队快速有效地响应,当检测到攻击时,它会隔离受影响的端点,阻止恶意域,并立即采取补救措施,以减小威胁对组织网络造成的影响。
结论
鉴于Web浏览器在桌面和移动设备上无处不在,所以它们仍然是威胁分子窃取数字身份和个人信息或发动全面网络攻击的一条颇有吸引力的途径,感染Web浏览器可以用来在操作系统上站稳脚跟,劫持互联网流量或入侵在线帐户。
提高网络浏览器的安全性是需要多管齐下的方法,需要做好网络安全基本功,确保持续的用户教育,并拥有合适的检测和响应技术。