2011年安全漏洞研究趨勢分析

qintel

2011年02月28日

文/H3C攻防研究團隊

2010年以已經(jīng)過去，相比往年，2010年里影響重大的安全事件數(shù)量雖然不多，但是還是有兩件事件引起了全球的巨大轟動:

1)2010 元旦剛過，一個名為“極光”的IE瀏覽器漏洞被黑客大規(guī)模利用，網(wǎng)上出現(xiàn)了大量利用該漏洞的惡意網(wǎng)頁。網(wǎng)絡(luò)搜索巨頭谷歌(Google)宣稱黑客利用此漏 洞對自己發(fā)起了攻擊；德國、法國、澳大利亞等國政府甚至直接發(fā)出警告，在微軟修補漏洞前停止使用IE瀏覽器。

2) 世界首款專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒Stuxnet在2010年7月份全面爆發(fā)，該病毒被稱作“超級工廠病毒”。這個病毒利用了微軟操作系統(tǒng)中 5個漏洞，通過一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制，對其開展攻擊。該病毒對工業(yè)設(shè)備造成了巨大的破壞，尤其是伊朗，近60%受感染 的工業(yè)設(shè)備在該國境內(nèi)，伊朗政府也確認該國的布什爾核電站遭到Stuxnet蠕蟲的攻擊導致推遲發(fā)電。

歸結(jié)起來，在2010年，針對微軟操作系統(tǒng)的安全漏洞仍然是首當其沖的焦點，其它諸如移動智能設(shè)備、網(wǎng)頁相關(guān)、基于MAC OS的漏洞在2010年也有比較活躍的表現(xiàn)，這些領(lǐng)域需要在2011年繼續(xù)關(guān)注，我們相信他們?nèi)匀粫��?011年安全漏洞研究的重中之重；

1、微軟操作系統(tǒng)安全漏洞

在 2010年，微軟操作系統(tǒng)還是安全漏洞的焦點，出現(xiàn)了影響范圍很大的0day漏洞，其中以IE瀏覽器的兩個0day最為嚴重漏洞，年初爆發(fā)的IE極光漏 洞，年底爆發(fā)的IE CSS標簽解析漏洞，由于這兩個漏洞利用簡單，并且IE6、IE7、IE8等IE瀏覽器主流版本都有這兩個漏洞，所以影響巨大，黑客很容易利用這兩個安全 漏洞制造惡意網(wǎng)頁。

還有兩個0day漏洞——微軟幫助和支持中心HCP協(xié)議處理器day漏洞、 Windows快捷方式LNK文件自動執(zhí)行代碼0day漏洞，分別在6月和7月爆發(fā)，造成了很大的破壞，影響的操作系統(tǒng)版本涉及到目前主要的 Windows使用版本，如Windows XP、Windows7、Windows 2003等，微軟甚至為這些漏洞提前發(fā)布了安全補丁，這在以往是很難見到的。

此外，微軟在12月修復的 Windows計劃任務的本地權(quán)限提升漏洞，是被“超級工廠”病毒Stuxnet利用的最后一個Windows漏洞。Stuxnet一共利用了5個微軟漏 洞，隨著第5個漏洞的修復，肆虐全球長達半年之久的Stuxnet“超級工廠”病毒將得到徹底解決。

2010全 年微軟共發(fā)布106個安全公告，漏洞總數(shù)共計247個，數(shù)量之高創(chuàng)造歷史峰值。而在最近10年內(nèi)，發(fā)布補丁數(shù)量最高年份為2006年和2008年，都只有 78款補丁，和2010年都由不小的差距。2010年，Windows XP被修復的漏洞數(shù)量在各Windows版本中是最多的，共有58個，種類包括遠程代碼執(zhí)行、權(quán)限提升、DOS拒絕式攻擊等等。隨后是Windows Vista，修復了52個漏洞，Windows 7修復了52個漏洞。Windows Server 2003和Windows Server 2008分別修復了54個和56個漏洞。從這些統(tǒng)計數(shù)據(jù)和漏洞的嚴重情況看，微軟仍然是安全漏洞的生產(chǎn)大戶，是2011年安全攻防研究的重點對象。

在2011年，IE瀏覽器的漏洞依然受到黑客的青睞，隨著IE瀏覽器的不斷升級，針對IE7和IE8的瀏覽器的漏洞也會逐漸增多，這些漏洞將會成為黑客掛馬的主要手段。

2011 年將是Windows 7大量快速普及的一年，在所有的漏洞缺陷中，Windows漏洞缺陷是全球黑客最喜歡的，往往一個系統(tǒng)級的漏洞可為黑客“招蜂引蝶”帶來成千上萬的肉雞。 從2010年的統(tǒng)計數(shù)據(jù)看，微軟Windows7發(fā)現(xiàn)的漏洞數(shù)量已經(jīng)和Windows XP相當，在2011年，Windows 7 必將是黑客重點“照顧”的對象。

2、網(wǎng)頁安全漏洞

2010年，隨著網(wǎng)絡(luò)交易、網(wǎng)絡(luò)游戲繼續(xù)發(fā)展，傳統(tǒng)的web攻擊方式如通過網(wǎng)頁掛馬、SQL注入等依舊流行。尤其是網(wǎng)頁掛馬，借助2010年IE瀏覽器的漏洞，出現(xiàn)了很多利用瀏覽器漏洞制作惡意網(wǎng)頁盜取用戶網(wǎng)上賬號的惡意網(wǎng)頁。

在 2011年，“網(wǎng)頁掛馬”依舊是廣大網(wǎng)民的最大危害，除了使用瀏覽器漏洞等方式，黑客還在不斷尋找新的方法借助吸引用戶上鉤，利用搜索引擎優(yōu)化技術(shù)展開攻 擊便是其中的一種方法。人們在遇到問題時，往往依賴于通過搜索引擎去尋求答案，對于前幾位排名的搜索結(jié)果更是信任有加，黑客便利用這點，入侵到一些知名網(wǎng) 站，把一些人群感興趣隱藏著惡意代碼的文件上傳到該網(wǎng)站上，當點擊含有這些關(guān)鍵字的惡意頁面，下載或者執(zhí)行代碼，就成為了任人擺布的“肉雞”。2011 年，搜索引擎會被更多黑客利用成為“網(wǎng)頁掛馬”傳播的途徑。

在2011年，隨著博客、社交網(wǎng)站的用戶經(jīng)過多年積 累已成相當規(guī)模，微博的興起，通過社會工程學發(fā)起攻擊的可能性非常大。由于網(wǎng)站的成員過于信任社區(qū)的其他成員，沒有采取措施，阻止惡意軟件和計算機病毒， 小漏洞、不良用戶行為以及過期的安全軟件結(jié)合在一起會具有潛在的破壞性，可能大幅增加用戶使用網(wǎng)絡(luò)安全的風險。一些別有用心的人可以收集用戶的手機號、 ＭSＮ、QQ賬號等普通信息，還可以通過網(wǎng)民與朋友的溝通記錄分析出他們涉及隱私的信息。

購物網(wǎng)站和網(wǎng)絡(luò)支付的 普及讓越來越多的網(wǎng)友加入了網(wǎng)絡(luò)購物的大軍，巨大的金額和安全意識薄弱的用戶群使黑客集團垂涎三尺，“網(wǎng)購木馬”在2010年從無到有，已經(jīng)出現(xiàn)大范圍危 害的趨勢。與釣魚網(wǎng)站相比，“網(wǎng)購木馬”隱藏更深，讓用戶無法察覺和判斷，一旦感染造成危害的可能性非常高。預計在2011年，隨著“網(wǎng)購木馬”會的流 行，會進一步威脅網(wǎng)購用戶賬號的安全。

3、無線網(wǎng)絡(luò)、手機等移動設(shè)備領(lǐng)域的安全漏洞

2010 年，IPhone等智能手機的普及，以及上網(wǎng)本等移動設(shè)備的推廣，使得移動辦公正成為一種時尚，用戶們無論在哪兒都可以隨時收發(fā)郵件、文檔并連接其它網(wǎng)絡(luò) 資源。但是人們在享受這種方便快捷的上網(wǎng)方式的同時，針對移動設(shè)備的攻擊和威脅也呈現(xiàn)出快速增加之勢，用戶和企業(yè)數(shù)據(jù)都將面臨極高的風險。2010年名為 “手機僵尸病毒”因其存在大量變種，累積感染手機高達150萬部以上，成為2010年的手機“毒王”。

2011 年，隨著3G網(wǎng)絡(luò)建設(shè)發(fā)展迅速，國家推廣力度加大，人們今后的上網(wǎng)，通話，電視，支付，查詢等將有很大一部分在手機上進行，眼光犀利的黑客自然不會錯過這 一大好時機，蠕蟲木馬，欺詐釣魚，僵尸網(wǎng)絡(luò)通過手機短信，網(wǎng)絡(luò)下載等大肆擴散傳播，這類威脅已經(jīng)在人們?nèi)粘５纳�活中出現(xiàn)，2011年這類威脅將會加劇。

4、針對蘋果MAC OS的安全漏洞

過 去幾年間，蘋果的PC市場份額已經(jīng)獲得了較大程度的增長，成為時尚白領(lǐng)用戶的電子新寵。在市場份額提升的同時，但針對Mac的攻擊也逐步引發(fā)外界關(guān)注。 2010年，Mac 操作系統(tǒng)已經(jīng)被黑客發(fā)現(xiàn)多個漏洞，成為一個易受攻擊的目標。在CanSecWest黑客大賽上，Mac操作系統(tǒng)連續(xù)兩年成為第一個被攻破的系統(tǒng)。由于 Mac OS 操作系統(tǒng)中目前沒有惡意軟件防范機制，預計在2011年，將會出現(xiàn)更多針對Mac OS 的攻擊。

除了上述幾個重點的安全漏洞研究趨勢外，在2011年預計下面幾個方面將開始變得活躍，成為新一年中安全漏洞爆發(fā)的重點：

5、瀏覽器安全漏洞

2010年由于IE瀏覽器爆發(fā)的巨大安全問題，越來越多的用戶開始選取其它的瀏覽器，這其中以火狐為代表的瀏覽器市場份額迅速增大，其它的瀏覽器如谷歌瀏覽器、國內(nèi)的360、QQ等也推出的瀏覽器，廣泛被客戶使用。

由 于瀏覽器漏洞利用簡單，并且用戶群體龐大，所以漏洞危害非常大。其實火狐瀏覽器在2010年已經(jīng)出現(xiàn)了近百個安全漏洞，數(shù)量非常驚人，只是造成的影響比較 小。2011年，隨著各種非IE瀏覽器漏洞的廣泛使用，黑客會投入更多精力挖掘各種瀏覽器的漏洞，瀏覽器的安全問題性也面臨巨大考驗。

6、應用軟件安全漏洞

隨 著操作系統(tǒng)安全性大幅度提高，通過系統(tǒng)漏洞缺陷大面積傳播病毒木馬和捕獲肉雞的幾率大大降低，在此情況下，第三方軟件成為惡意數(shù)據(jù)傳播的主要途徑。 Adobe、Office、RealPlayer、Flash、FireFox、暴風影音、迅雷下載等都成為黑客青睞的對象。2010年 ,微軟發(fā)布的Office漏洞30多個，涉及到Office各個版本；Adoebe公司的pdf Reader在二月份也爆發(fā)了零日漏洞。當用戶使用瀏覽器訪問受感染網(wǎng)頁的時候，這些安全漏洞可能會導致攻擊者控制用戶的計算機。在2011年，各種層出 不窮又沒有經(jīng)過嚴格安全測試的應用軟件依舊是黑客的最愛。

7、云計算安全漏洞

2010 年是云計算走向廣泛應用的一年。云技術(shù)進一步成熟并得到較多的推廣，已經(jīng)有越來越多的IT功能通過云計算來提供，給日常網(wǎng)絡(luò)操作行為帶來便捷，安全和舒適 的應用。云計算在2010年取得了長足的發(fā)展，但也必須意識到，市場的快速發(fā)展會犧牲一定的安全性。2011年攻擊者將把更多的時間用于挖掘云計算服務提 供商的API(應用編程接口)漏洞，效仿企業(yè)的做法使用基于云計算的工具，以便更有效率地部署遠程攻擊，甚至借此大幅拓展攻擊范圍。

8、HTML5安全漏洞

HTML5 是HTML的最新標準，目前該標準仍在完善中。由于此前以文檔為中心HTML頁面的理念無法有效地滿足現(xiàn)代Web應用的需要，HTML5的改進以互聯(lián)網(wǎng)應 用為中心，并在未來的Web世界中扮演更重要的角色。在HTML5中，音頻和視頻就會像今天的文本以及圖片一樣，成為任何網(wǎng)頁的標準部分，瀏覽器不需要加 載任何音頻和視頻插件，這將大大減少瀏覽器的負擔，并提高用戶的體驗。另外，HTML 5突破了其作為標記語言的界限，增加了很多頗具實用價值的API。

HTML5新增的幾個功能，可能會觸發(fā)安 全漏洞，HTML5提供瀏覽器在本地存儲數(shù)據(jù)的功能，期望能夠提升網(wǎng)頁應用的運作效率，但是敏感數(shù)據(jù)可能被存儲在本地用戶工作站，而物理訪問或者破壞該工 作站的攻擊者，就能夠輕松獲得敏感數(shù)據(jù)。HTML5允許跨域通訊，而其它版本的HTML只允許JavaScript發(fā)出 HTTP請求調(diào)用回原來的服務器，而HTML5放寬了這個限制，HTTP請求可以發(fā)送給任何允許這種請求的服務器。如果服務器不可信任的話，這也會帶來嚴 重安全問題。

雖然HTML5距離廣泛應用還需要一定時間，但是新的技術(shù)的提出意味著新的安全風險，而且HTML5設(shè)計本身就可能存在安全漏洞。2011年，會又更多的黑客根據(jù)HTML5設(shè)計上的問題挖掘HTML5的安全漏洞。

結(jié)束語

回 首2010年，谷歌被黑、工業(yè)病毒爆發(fā)等一系列安全事件讓更多的企業(yè)和國家看到了網(wǎng)絡(luò)安全的重要性。在2011年，黑色產(chǎn)業(yè)給整個網(wǎng)絡(luò)帶來的安全威脅會日 益加重，新技術(shù)和新產(chǎn)品的出現(xiàn)，在給人們生活帶來方便快捷的同時，也給我們帶來了潛在的安全威脅。面對這種安全威脅和挑戰(zhàn)，一方面，安全廠商應該對安全威 脅做出判斷，給出安全防御措施，另一方面，網(wǎng)絡(luò)用戶的使用者要掌握基本的網(wǎng)絡(luò)安全常識，養(yǎng)成良好的上網(wǎng)習慣，及時安裝殺毒軟件和系統(tǒng)補丁。建設(shè)一個健康， 安全和有序的網(wǎng)絡(luò)空間環(huán)境，是每一位網(wǎng)絡(luò)用戶共同的希望和期待，只有個人，企業(yè)，社會和政府共同的努力，才能讓網(wǎng)絡(luò)用戶真正享受到IT技術(shù)所帶來的便利