“漏洞之王”微軟的威脅態勢與挑戰

近年來經過一連串收購，微軟公司已經“內卷”成為一家網絡安全巨頭，但是這個牽動千萬家企業客戶的科技巨頭自身的安全態勢和安全挑戰卻鮮為人知。

漏洞之王

在過去的幾年中，與微軟有關的漏洞和黑客攻擊的負面消息不絕于耳。顯然，無處不在的微軟產品(及其中的漏洞)對于黑客來說是極具吸引力的攻擊媒介。根據美國網絡安全和基礎設施安全局(CISA)的一份報告，自2022年初以來，微軟已報告了238個網絡安全漏洞，占今年迄今為止發現的所有漏洞的30%。

2021年，美國國家安全局(NSA)、FBI、CISA和CIA等主要機構發布了黑客利用最多的15個漏洞和暴露(CVE)。其中，60%（9個）來自微軟設計、運營和擁有的系統，包括Exchange Server中的7個CVE。

尤其讓美國網絡安全專家們感到焦慮的是，微軟在美國政府IT系統和辦公采購中占據主導地位，市場份額高達85%，這意味著微軟面臨的黑客威脅，也是美國政府的安全挑戰。

微軟在2021年底再次成為頭條新聞，微軟警告客戶Azure云平臺中央數據庫Cosmos DB的一個組件（可視化工具Jupyter Notebook）存在配置錯誤，該組件默認啟用，導致數據暴露長達兩年。安全公司Wiz的一個研究團隊發現通過該漏洞能夠獲取數千家公司的數據庫的訪問密鑰。成千上萬依賴Azure Cosmos DB的客戶（包括埃克森美孚和可口可樂等知名企業）的數據庫面臨被未授權訪問、寫入或刪除的巨大風險。

由于微軟產品生態系統中不斷發現黑客攻擊和漏洞，其他科技巨頭，如谷歌，已經在網絡安全創新領域超越了微軟。最近，在Cloud Next '22活動中，谷歌發布了一項快速漏洞檢測服務。該工具是Security Command Center Premium中的一項零配置服務，可檢測暴露的管理界面、弱憑據和不完整的軟件安裝等漏洞。

作為一家產品和客戶遍布全球的科技巨頭，微軟的網絡安全實踐存在哪些短板？微軟未來面臨（帶給我們）什么樣的威脅？

脆弱的巨鯊

在過去的15年中，微軟在強化Windows內核方面取得了進展，Windows內核是黑客接管設備的關鍵所在，微軟對可在內核模式下運行的系統驅動程序引入了新的嚴格限制，這被看作是微軟加固內核的關鍵舉措。

2019年2月，軟件公司SolarWinds遭到名為Nobelium的疑似國家黑客組織的軟件供應鏈攻擊。該組織獲得了對數千名SolarWinds客戶的網絡、系統和數據的訪問權限，從而導致了有史以來最大規模的黑客攻擊，根據事件的有關報道，微軟產品的漏洞大大增加了SolarWinds攻擊的破壞性。

前白宮網絡政策主管安德魯·格洛托表示，此類攻擊的一部分原因在于遺留代碼庫問題。

“微軟產品需要付出很多努力才能以正確的方式進行配置，并且由于此類配置問題，這些產品很容易受到利用。攻擊者越來越深入地滲透到受害者的網絡中，并利用了微軟產品中的配置問題”格洛托說道。

壞消息接踵而來，2021年3月，一群代號Hafnium的黑客利用微軟Exchange軟件的弱點，控制了大量企業服務器并訪問敏感的公司和政府組織信息。FBI甚至需要“黑入”數百臺美國企業的計算機服務器才最終清除Hafnium惡意軟件。作為補救措施，2021年4月微軟一口氣發布了114個關鍵漏洞的補丁。

2022年3月，微軟宣布遭到犯罪黑客組織Lapsus$的入侵，后者入侵了一個微軟內部帳戶，能夠“有限地訪問”公司數據。然而，微軟否認該犯罪集團獲得了任何微軟客戶的數據。

微軟后來承認，Lapsus￥竊取了微軟某些產品相關的部分源代碼。Lapsus$方面則聲稱已經獲得了Bing搜索引擎和Cortana語音助手的源代碼。（但微軟聲稱其安全措施并不依賴其源代碼的保密性）

北極狼（Arctic Wolf）首席產品官、前微軟安全主管Dan Schiappa認為，微軟的軟件代碼通常新舊混合，這意味著很難確保沒有漏洞：“微軟需要借助整個網絡安全生態系統來幫助其龐大的技術基礎。微軟會持續改善安全狀況，但我不相信微軟有辦法顯著降低風險。因此，搭配適當的安全產品組合或服務是確保您安全使用微軟產品的最佳方式。”

微軟的產品生態系統瓶頸

作為市場上占主導地位的企業技術供應商，微軟的產品始終是攻擊者的熱門目標。例如：

威脅情報公司Cluster25最近報告稱，俄羅斯GRU（俄羅斯總參謀部主要情報局）旗下的威脅組織APT28（又名Fancy Bear）早在9月9日就使用新策略部署了Graphite惡意軟件。

攻擊者使用PowerPoint(.PPT)文件引誘目標，當受害者以演示模式打開文檔并將鼠標懸停在超鏈接上時，會啟動惡意PowerShell腳本，從Microsoft OneDrive帳戶下載JPEG文件。該文檔還包括一個超鏈接，該鏈接通過SyncAppvPublishingServer工具觸發惡意PowerShell腳本的執行，使用受害者計算機上的Microsoft Graph API和OneDrive進行進一步的命令和控制通信。

此外，易受攻擊的Microsoft SQL服務器也成為新一輪FARGO勒索軟件攻擊的目標。MS-SQL服務器是數據庫管理系統，用于保存互聯網服務和應用程序的數據，攻擊者對這些數據的泄露和破壞可導致嚴重的業務問題。FARGO與GlobeImposter一樣，是以MS-SQL服務器為重點的勒索軟件之一。

安全專家后來發現這些漏洞是由于使用了弱憑據，以及受害者服務器缺少最新的安全補丁，這與微軟難以配置的早期問題相呼應。

微軟的Windows10操作系統也在引發新的焦慮。根據Lansweeper的研究，在Windows11首次公開發布一年后，只有2.6%的用戶升級到了Windows11。由于Microsoft嚴格的系統要求，42%的PC甚至沒有資格進行自動升級。這意味著企業IT經理們難以在2025年之前升級或更換數百萬臺機器，而屆時微軟表示將停止支持Windows10。

CISO如何降低風險

Anomali威脅研究副總裁Steve Benton認為，利用已知漏洞只是達到目的的一種手段，是攻擊鏈的一部分，其中包含多個必須成功的組件。

“嚴酷的事實是，我們都應該接受這樣一個想法，即你不應該依賴任何產品來保證100%的安全，”Benton說道：“人們必須制定并執行一項戰略，將一整套多層安全控制措施落實到位。該策略應該專注于由TTP（策略、技術和程序）組成的更廣泛的攻擊鏈，這些攻擊鏈由攻擊者驅動，其動機和目標通過相關的、可操作的情報來理解。”

Benton建議采用三重方法：

• 多層縱深防御策略。確保您了解您的攻擊面和關鍵資產，并部署了一套重疊的多層安全控制。此外，確保這些組件完全部署到目標范圍、完全可操作并受到監控。
• 減少暴露。為所有這些組件定義策略和標準，防止漏洞暴露（即，不要將自己廉價地暴露給攻擊者）。
• 威脅情報能力。分析什么樣的黑客可能會攻擊你，揣測他們的動機或最終目標，以及他們可能會如何實施。這種關鍵情報能力使企業保護業務和客戶時能夠確定資源的優先級，并針對與企業相關的當前和新興威脅建立和維護動態安全態勢。

Alert Logic安全研究和威脅情報主管Mike Dausin表示：“積極的漏洞和補丁管理策略是企業安全管理的頭等大事。與此同時，采集設備產生的情報數據至關重要。許多成功的攻擊之所以被忽視，僅僅是因為來自受影響設備的日志和信號未被注意。收集、處理和監控這些信號對于捕捉現代威脅至關重要。”

微軟的未來會怎樣

Deep Instinct競爭情報分析師Jerrod Piker表示，微軟軟件解決方案在全球各種規模的企業中仍將廣泛使用，未來新漏洞的發現速度可能比目前更快。最近暴露的微軟漏洞表明，這些漏洞利用的復雜性和規模將繼續增長。

Piker認為，雖然微軟提供了一套廣泛的安全解決方案，但在保護自身軟件開發生命周期本身方面似乎沒有取得重大進展。

“微軟自身的安全工作相對被動，未能成功地將安全融入軟件開發流程，這一點沒有根本性的改變之前，我們很可能不會看到微軟軟件解決方案漏洞的數量有顯著降低。”Piker說道。

在剛剛公布的2022三季度財報中，微軟的云服務給出了亮眼的增長數據。但Piker認為，只有當基本安全功能成為微軟所有價位的云服務的標配時，其安全承諾才能完全實現。

“事件記錄和多因素身份驗證等基本安全功能應該被視為標準的IT功能。不幸的是，微軟的云生態系統似乎仍然缺少這種底層功能，”Piker指出：“從安全角度來看，這是制約微軟云生態系統發揮其全部潛力的一個因素。”