我們擁有全球最大不限廠牌的漏洞懸賞計畫「Zero Day Initiative」(ZDI),因此有機會收到各式各樣的軟體漏洞。ZDI 所收到的軟體漏洞,其嚴重性從輕微困擾到超級破壞性不等,這是很正常的狀況。一般來說,漏洞懸賞計畫的目標,就是要盡可能網羅越多漏洞。至於收到漏洞之後該怎麼處理,那就看計畫團隊如何決定。在 ZDI,我們不僅會設法解決漏洞 (這一點我們似乎做得比其他機構來得好),而且我們還會設法阻止駭客利用漏洞從事進階攻擊。
當然,偵測及防範持續性滲透攻擊本身就是一項艱難挑戰,實際的情況總是不免要經歷一番危機才能真相大白。最近,維基解密 (WikiLeaks) 公布了一批據稱是美國情治單位所用的駭客工具,這正是 ZDI 懸賞計畫影響駭客攻擊方式的最佳範例。事實上,若維基解密的資料屬實,那美國中情局 (CAI) 將因 ZDI 的行動而被迫改用其他工具。
2010 年,震驚全球的 Stuxnet 病毒讓伊朗核武計畫的離心機受到嚴重損壞。Stuxnet 有三個核心元件:一個是用來隱藏自己的 Rootkit、一個是負責主要攻擊的蠕蟲,另一個是用來散布蠕蟲的自動執行捷徑檔。為此,Microsoft 釋出了多個安全更新來修補相關漏洞,包括解決捷徑檔漏洞的 MS10-046。這項修補使用了一個白名單來確保只有經過核准的檔案才能使用,很多人認為這樣的做法確實有效。不過,根據維基解密公布的文件顯示,一個叫做「EZCheese」的工具直到 2015 年為止一直都在攻擊一個類似的捷徑漏洞。這樣的改變是因為 ZDI 漏洞懸賞計畫已收到多個證明 MS10-046 更新修補無效的漏洞。駭客改用另外一個當時未知的捷徑漏洞 (Lachesis/RiverJack),源自於作業系統的「library-ms」功能。儘管 Microsoft 並未特別說明,但這另一個捷徑漏洞很可能在 CVE-2017-8464 釋出之後已經解決。
根據已曝光的文件,EZCheese 及其後繼者 Brutal Kangaroo 就像 Stuxnet 一樣,都是專為攻擊隔離式網路而設計。但很多人不知道的是,捷徑檔可以放在被攻擊目標可檢視的遠端磁碟上。
當 ZDI 收到一個漏洞時,我們不只會通報給廠商修補,還會將漏洞相關資訊送到趨勢科技內部的 Digital Vaccine® Labs (DVLabs) 數位疫苗實驗室。該實驗室會針對該漏洞製作出 DV 過濾規則,讓 TippingPoint 客戶能夠在廠商釋出修補更新之前有效防堵漏洞。而且,就在前述漏洞的過濾規則 (Digital Vaccine Filter 19340) 推出之後,歐洲、南美和新加坡就開始出現攻擊案例。雖然光憑規則觸發時的情境無法判斷駭客的真正意圖,但就其發生數量不多的情況來看,很可能是針對性攻擊/鎖定目標攻擊(Targeted attack )。
根據稍早 ShadowBrokers 所外流的資料顯示,這不是第一次發生此事。該攻擊使用了一個名為「Ewok Frenzy」的漏洞。其實 ZDI 早在 2007 年就收到這個漏洞,但即使該漏洞早已有修補更新,它在首次被揭露之後,還是活躍了將近十年。漏洞懸賞計畫的價值就顯現在漏洞被成功遏止。毫無疑問,ZDI 確實有助於遏止漏洞。事實上,截至 7 月 5 日為止,我們今年已發布了 452 筆資安公告,而且還有 413 筆還在審核當中,這每一筆都代表著一個漏洞被攤在陽光之下。有時,就連同漏洞攻擊的技巧也能過濾。例如,前述文件提到了另一個叫做「EasyBee」的漏洞,其運作方式和「Ewok Frenzy」類似,因此同樣的 DV 過濾規則兩者都能防範。
維基解密爆料的真實性以及這些漏洞是否真的曾經用於駭客攻擊,或許值得存疑,但廠商解決問題並釋出更新的努力卻不容否定。然而,從爆料的資料可看出駭客確實擁有相當的技術和實力,因此防守的一方必須隨時保持警戒。此外也顯示出,孜孜不倦的漏洞研究,加上世界級的漏洞懸賞計畫,確實有助於扭轉資安情勢,提升大眾安全。當然,從零時差漏洞到零時差攻擊還有一段距離,但能夠在漏洞公開之前預先具備防護能力,其價值無可衡量。每一年,全球發現的軟體漏洞數量都在不斷增加。ZDI 漏洞懸賞計畫將持續蒐集並研究零時差漏洞,並與軟體廠商密切合作以提升其產品安全。或許我們無法消除所有政府單位在背後支持的漏洞攻擊,但我們確實能讓他們更難得逞。
- 原文出處:The Real-World Impact of Bug Bounties and Vulnerability Research 作者:Brian Gorenc