近日 Firefox 用戶被敦促使用 Mozilla 的最新更新,來堵住一個可能允許攻擊者控制受影響系統的嚴重漏洞。在此之前,微軟 Edge、谷歌 Chrome 和蘋果 Safari 浏覽器都進行了類似的更新,所有這些浏覽器都受到 WebP 代碼庫中一個漏洞的嚴重影響。
雖然 WebP 漏洞也影響其他軟件,但浏覽器無疑是終端用戶設備上一種最普遍、最廣泛使用的應用程序,在受感染的浏覽器中站穩腳跟,威脅分子就可以訪問敏感信息,并獲得潛入目标環境的潛在途徑。
本文深入探讨了浏覽器安全,介紹漏洞和漏洞利用工具、零日漏洞和 N 日漏洞之間的區别,并重點介紹 2023 年的幾大浏覽器漏洞,讨論了威脅分子如何通過浏覽器軟件實施各種攻擊,末尾還附有幫助企業加強浏覽器安全性的指南。
關鍵概念 | 漏洞與漏洞利用工具的區别
漏洞本質上是軟件、硬件或系統中可能被利用的弱點或缺陷,這些可能是因編碼錯誤、配置錯誤或設計缺陷而造成的,它們無意中爲安全威脅敞開了大門。
漏洞可能存在于技術的方方面面,包括操作系統、應用程序、網絡協議,甚至是人類行爲,不是每個漏洞都能被利用,也不是每個漏洞都會導緻代碼執行或數據丢失。
惡意分子将漏洞轉化爲漏洞利用工具的可能性和難易程度,以及該漏洞代碼工具可能被用來執行的操作,是理解漏洞嚴重性等級這個概念的一種非正規方式。可以在這裏(https://nvd.nist.gov/vuln-metrics/cvss)找到對 CVSS 和漏洞度量指标的更正規的理解。
利用是主動利用漏洞實施惡意行爲的行動。它包括利用已識别的弱點來獲得未經授權的訪問、破壞數據、擾亂服務或執行其他有害活動,利用表現爲多種形式,比如代碼執行、特權升級、數據盜竊或者遠程控制受感染系統。
漏洞和利用是 Web 浏覽器安全中兩個不同但又相互關聯的概念。雖然今天的 Web 浏覽器代碼中可能存在許多漏洞,但并非所有漏洞都可以被利用或被威脅分子積極利用。
未修補漏洞 | 了解零日和 N 日漏洞
當攻擊者發現零日漏洞時,他們有機會在開發者意識到并發布安全補丁之前利用它。" 零日 " 這個名字源于一個令人不安的事實,即由于開發者沒有意識到漏洞,他們沒有時間(零日)來修複,在一個未打補丁的漏洞被公之于衆後,從那時起,它常被稱爲 N 日漏洞,其中 N 表示從發現到發布補丁的天數。
零日漏洞和 N 日漏洞都是機會窗口,讓網絡犯罪分子可以趁機破壞用戶數據、傳播惡意軟件或未經授權訪問系統,利用這些漏洞可能會産生深遠的後果,影響各種平台上的大量用戶。Web 浏覽器中的零日漏洞是網絡安全最重要、最具挑戰性的方面之一。
2023 年主要浏覽器的被利用漏洞
WebP 漏洞不是最近影響互聯網浏覽器的唯一 CVE。谷歌在 2023 年爲 Chrome 增添的補丁包括針對以下漏洞:
• CVE-2023-2033(CVSS 分數 :8.8)— V8 中的類型混淆
• CVE-2023-2136(CVSS 分數 :9.6)— Skia 圖形庫中的整數溢出
• CVE-2023-3079(CVSS 分數 :8.8)— V8 中的類型混淆
• CVE-2023-4863(CVSS 分數 :8.8)— WebP 中的堆緩沖區溢出
• CVE-2023-5217(CVSS 分數 :8.8)— libvpx 中 vp8 編碼的堆緩沖區溢出
與此同時,蘋果今年也針對 WebKit(爲 Safari 及其他 Web 應用程序提供支持的浏覽器引擎)中相當數量的零日漏洞發布了補丁。
•今年 2 月,針對 WebKit 零日漏洞 CVE-2023-23529 發布了補丁,該漏洞被用于攻擊,以便在 iPhone、iPad 和 Mac 設備上執行代碼。
•4 月,WebKit 釋放後使用漏洞 CVE-2023-28205 被修補,以防止可能導緻攻擊者在受損設備上執行代碼的漏洞。
•5 月,三個 WebKit 漏洞 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373 在被報告用于攻擊後得到了修補。
•7 月,蘋果修補了 WebKit 中的 CVE-2023-37450 漏洞,該漏洞也被廣泛利用。
Mozilla 在 2023 年也修補了多個漏洞,包括 CVE-2023-34414、CVE-2023-34416、CVE-2023-4584/5 以及 Firefox 118 中的嚴重漏洞 CVE-2023-5217,最後一個漏洞與已知被大肆利用的 libvpx(WebP)漏洞有關。
近日,微軟 Edge 同樣針對 WebP 漏洞打了補丁。此外,去年 8 月的補丁星期二還修複了兩個被大肆利用的零日漏洞:CVE-2023-36884 和 CVE-2023-38180,以及另外 23 個遠程代碼執行漏洞(其中 6 個被評爲是 " 嚴重漏洞 ")。
與其他許多流行的浏覽器:Vivaldi、Brave 和 Opera 一樣,Edge 是一款基于 Chromium 的浏覽器,所以谷歌 Chrome 中的許多同樣漏洞也适用于這些浏覽器和 Edge。
擴展和附件 | 擴大攻擊面
雖然浏覽器本身是一個容易下手的攻擊面,但浏覽器擴展、插件和附件也是惡意軟件(尤其是信息竊取器)的攻擊途徑。
比如說,随着 ChatGPT 日益普及,威脅分子緊跟 AI 潮流,制作虛假的 ChatGPT 浏覽器擴展,以劫持數千個 Facebook 企業賬戶,并傳播一個名爲 " 快速訪問 ChatGPT" 的惡意信息竊取器。
一些下載網站中也發現了惡意擴展。今年 6 月,谷歌從 Chrome Web 商店中删除了 32 個惡意擴展,這些擴展的下載量總計超過 7500 萬人次,這些鬼鬼祟祟的代碼不僅包含用戶期望的合法功能,還包含經過混淆處理的惡意代碼。在一個例子中,PDF 工具箱擴展被用來将 JavaScript 注入到訪問擴展的每個網站用戶。雖然不清楚攻擊者的目的是什麽,但這種技術可以用來劫持搜索結果,并注入惡意鏈接。
雖然谷歌已采取行動從其 Web 商店中删除了已識别的擴展,但這種删除并不會自動從浏覽器中停用或卸載這些擴展。
浏覽器小心 | 網站提供(虛假)Chrome 更新
由于浏覽器的使用如此廣泛和持續,它們也可能爲社會工程活動提供很好的誘餌。威脅分子使用惡意或有毒的網站來欺騙用戶,讓他們以爲浏覽器需要更新才能查看網站,然後向用戶提供惡意下載,佯裝這是所需的更新。
在最近此類活動的一個例子中,安全研究人員發現了一種新的 IDAT 加載器,它被用來投放 Stealc、Lumma 和 Amadey 之類的信息竊取器。該活動謊稱自己是 Chrome 浏覽器更新,将受害者重定向到另一個自動下載二進制文件的 URL,在打開虛假的更新二進制文件 "ChromeSetup.exe" 之後,它進而下載下一階段的載荷。
插件和跨站腳本(XSS)漏洞
跨站腳本(XSS)是一種常見的 Web 應用程序安全漏洞,将惡意代碼注入到網站或 Web 應用程序中,然後将其提供給訪問該網站的其他用戶。XSS 攻擊常通過 Web 浏覽器來執行。
CVE-2023-30777 于 2023 年 5 月被發現,這是 WordPress 高級自定義字段 PRO 插件(版本 6.1.5 及更早)中的一個漏洞。該漏洞允許攻擊者注入惡意腳本或其他 HTML 載荷,有人訪問包含這個高危插件的網站時,載荷就會執行。
XSS 漏洞還允許攻擊者将惡意腳本(常用 JavaScript 編寫)注入到 Web 應用程序的輸入字段或用戶生成的其他内容區域。這些腳本可以隐藏在看起來無害的數據中,比如評論、搜索查詢或表單提交。當不知情的用戶訪問受感染的網頁時,他們的 Web 浏覽器會将注入的腳本作爲頁面内容的一部分來呈現。
惡意廣告 | 浏覽器軟件的頑疾
由于浏覽器的主要目的是訪問網站并呈現内容,因此它們不可避免地受到出現在這些網站上的惡意代碼的濫用,這類代碼的一種更常見的形式是惡意廣告,即傳播惡意軟件的在線廣告。
不法分子像普通企業一樣購買廣告位,常使用自動化系統下訂單。然後,他們創建嵌入惡意代碼的廣告,并通過合法的廣告網絡發布。
就連大受歡迎、備受信賴的網站也被發現無意中提供惡意廣告。惡意廣告可以用來投放無需用戶交互的下載件:隻要浏覽器存在某些漏洞,或者廣告中含有惡意鏈接,就能觸發下載件。
浏覽器廣告軟件 | 不僅僅很煩人
廣告軟件是一種禍害,在未經用戶同意甚至不知情的情況下在設備上顯示侵入性廣告。廣告軟件常常與 Web 浏覽器擴展或插件捆綁在一起安裝,一旦安裝上去,廣告軟件就會跟蹤用戶的在線行爲,收集數據,然後顯示針對性的廣告爲廣告商大作宣傳。此外,廣告軟件可能會将用戶的 Web 浏覽器重定向到特定的網站或收集個人信息。
廣告軟件通過消耗寶貴的系統資源和帶寬來降低系統性能,最令人擔憂的是,廣告軟件可以充當其他惡意軟件的渠道,包括間諜軟件和勒索軟件。廣告軟件開發者是最高明的開發群體之一,他們經常使用類似惡意軟件的混淆手法和反分析技巧來避免用戶或安全軟件的檢測和删除。
提高 Web 浏覽器的安全性
雖然浏覽器供應商不斷提供補丁更新,并開發新的擴展和附件來應對産品中的風險,但組織本身也可以盡量減少威脅,并保護浏覽會話。
1. 做好浏覽器安全基本功
•及時更新浏覽器軟件是網絡安全的一個重要方面。大多數流行的浏覽器會在重新啓動時自動更新和 / 或在更新可用時提供通知,爲了确保更新是正規的,應該始終通過浏覽器内置的更新機制進行更新,應該避免手動下載,并且在任何情況下隻從開發者的官方軟件更新網站獲取。
•爲了方便,Web 浏覽器通常提供保存密碼的選項。然而,這種便利是以犧牲安全性爲代價的,如果将密碼存儲在浏覽器中,一旦安全洩密,密碼就更容易被竊取。替代方案是,改而使用信譽良好的密碼管理器,密碼管理器不僅可以安全地存儲憑據,還可以爲每個帳戶生成獨特的強密碼。
•書簽也有助于提升浏覽器安全。網絡犯罪分子可以在經常訪問的網站上設計騙局,誘騙用戶輸入憑據和敏感信息,爲了降低這種風險,對經常使用的網站使用書簽,這就降低了意外遇到假冒網站的可能性。
2. 編寫面向全組織的浏覽器政策和培訓材料
組織領導可以與 IT 團隊合作,确保基本的浏覽器安全做法實現自動化。如果針對管理彈出窗口制定最佳實踐設置、打開自動更新和隻下載 IT 部門認可的浏覽器安全附件,所有級别的用戶都可以安全地浏覽互聯網。
在用戶層面,要求持續的網絡安全培訓有助于建立更好的防禦态勢,并保護企業的數字資産,用戶可以學會發現常見的威脅,比如網絡釣魚攻擊、惡意下載和欺騙,然後立即标記問題。網絡安全培訓還強調了保持浏覽器和相關軟件版本最新的重要性,以及在浏覽器中存儲敏感數據的相關風險。
3. 購置威脅檢測和響應解決方案
擁有可靠的檢測和響應能力是确保 Web 浏覽器會話安全的關鍵。XDR 通過整合來自各數據源(包括 Web 浏覽器)的數據,提供了一種全面的安全方法。這意味着安全團隊可以對所有系統保持警惕,實時發現潛在威脅和大肆利用的浏覽器漏洞。
XDR 解決方案還使用高級分析和機器學習(ML)算法來檢測異常或可疑的浏覽器行爲,幫助組織查明基于浏覽器的漏洞,以免漏洞演變成全面攻擊。通過分析用戶活動、網絡流量和端點數據,XDR 系統可以識别不然可能被忽視的威脅或惡意活動的迹象。
在基于浏覽器的網絡攻擊環境中,XDR 允許安全團隊快速有效地響應,當檢測到攻擊時,它會隔離受影響的端點,阻止惡意域,并立即采取補救措施,以減小威脅對組織網絡造成的影響。
結論
鑒于 Web 浏覽器在桌面和移動設備上無處不在,所以它們仍然是威脅分子竊取數字身份和個人信息或發動全面網絡攻擊的一條頗有吸引力的途徑,感染 Web 浏覽器可以用來在操作系統上站穩腳跟,劫持互聯網流量或入侵在線帳戶。
提高網絡浏覽器的安全性是需要多管齊下的方法,需要做好網絡安全基本功,确保持續的用戶教育,并擁有合适的檢測和響應技術。