趨勢科技:黑客可從Windows Defender竊取資料和感染勒索程式
網絡保安方案供應商趨勢科技發現了一個Microsoft Windows Defender漏洞,正遭到Water Hydra黑客集團積猛烈攻擊。此漏洞的最大風險是可能被黑客用來攻擊任何產業或企業,一些以賺錢為動機的進階持續性攻擊集團正積極利用此漏洞來滲透外匯交易所,藉此影響高風險的外匯交易市場。
零時差漏洞
趨勢科技Zero Day Initiative(ZDI)漏洞懸賞計劃的研究師於2023年12月31日發現這個零時差漏洞(CVE-2024-21412)並通報Microsoft,隨後於2月13日首次對外作出公佈註一。趨勢科技客戶於2024年1月17日自動獲得這項漏洞的防護,建議企業應立即採取行動來防止黑客利用此漏洞發動攻擊。
簡單而言,黑客會在複雜的零時差攻擊程序中利用此漏洞來繞過 Windows Defender SmartScreen 保護機制,令受害電腦感染DarkMe遠端存取木馬程式以方便竊取資料和感染勒索程式。
虛擬補丁來保護系統
每當趨勢科技發現一個新的零時差漏洞,就會負責任地通報予有關廠商。而趨勢科技客戶可在廠商發佈正式補丁前預先套用虛擬補丁來保護系統,以防漏洞攻擊。相較其他廠商平均需要96天才能為客戶提供實質的防護,趨勢科技平均在廠商正式發佈補丁前的51天就可預先提供虛擬補丁來保護客戶,這個Microsoft零時差漏洞也不例外。在本次漏洞事件中,趨勢科技採用了多層式防禦來防範進階威脅,其入侵防禦(IPS)功能提供了虛擬補丁來全面攔截利用CVE-2024-21412漏洞進行的攻擊。
根據趨勢科技估計,2023年間,採用虛擬補丁的企業客戶平均可省下100萬美元的開支。趨勢科技營運長Kevin Simzer表示:「零時差漏洞是黑客越來越常用的一種手段,這正是為何我們投入如此龐大的資源來建立威脅情報,這樣我們才能提前在廠商釋出正式補丁之前好幾個月,預先保護我們的客戶,能夠打造一個更少資訊保安風險的世界是我們的光榮。」
Trend Vision One能自動偵測重大漏洞,檢查所有受影響的端點,同時評估企業整體風險及可能遭受的衝擊。趨勢科技主動管理風險的做法可減少企業在漏洞揭露當天手忙腳亂的情況,確保客戶在充分的準備下有信心地降低風險。反觀單純依賴舊式用戶端防護與回應的企業,萬一遇到利用進階技巧來躲避偵測的黑客就可能束手無策。
獨立漏洞懸賞計劃
此外,Zero Day Initiative是當今全球最大的非限定廠商獨立漏洞懸賞計劃,其發掘及供應虛擬補丁情報的能力,在以下兩項趨勢科技發現的重大趨勢下就顯得更加重要:
- 黑客集團發現的零時差漏洞越來越多被一些國家級黑客集團(如APT28、APT29、APT40)用作攻擊,藉以擴大攻擊範圍。
- CVE-2024-21412本身只須單純地繞過CVE-2023-36025漏洞就可進行攻擊,這突顯出進階持續性攻擊集團多麼容易就能找出及避開廠商局部性補丁的弱點。
註一:微軟已於2月13日公佈此漏洞資訊https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
