深入剖析2023年的浏览器安全挑战
近日 Firefox 用户被敦促使用 Mozilla 的最新更新,来堵住一个可能允许攻击者控制受影响系统的严重漏洞。在此之前,微软 Edge、谷歌 Chrome 和苹果 Safari 浏览器都进行了类似的更新,所有这些浏览器都受到 WebP 代码库中一个漏洞的严重影响。
虽然 WebP 漏洞也影响其他软件,但浏览器无疑是终端用户设备上一种最普遍、最广泛使用的应用程序,在受感染的浏览器中站稳脚跟,威胁分子就可以访问敏感信息,并获得潜入目标环境的潜在途径。
本文深入探讨了浏览器安全,介绍漏洞和漏洞利用工具、零日漏洞和 N 日漏洞之间的区别,并重点介绍 2023 年的几大浏览器漏洞,讨论了威胁分子如何通过浏览器软件实施各种攻击,末尾还附有帮助企业加强浏览器安全性的指南。
关键概念 | 漏洞与漏洞利用工具的区别
漏洞本质上是软件、硬件或系统中可能被利用的弱点或缺陷,这些可能是因编码错误、配置错误或设计缺陷而造成的,它们无意中为安全威胁敞开了大门。
漏洞可能存在于技术的方方面面,包括操作系统、应用程序、网络协议,甚至是人类行为,不是每个漏洞都能被利用,也不是每个漏洞都会导致代码执行或数据丢失。
恶意分子将漏洞转化为漏洞利用工具的可能性和难易程度,以及该漏洞代码工具可能被用来执行的操作,是理解漏洞严重性等级这个概念的一种非正规方式。可以在这里(https://nvd.nist.gov/vuln-metrics/cvss)找到对 CVSS 和漏洞度量指标的更正规的理解。
利用是主动利用漏洞实施恶意行为的行动。它包括利用已识别的弱点来获得未经授权的访问、破坏数据、扰乱服务或执行其他有害活动,利用表现为多种形式,比如代码执行、特权升级、数据盗窃或者远程控制受感染系统。
漏洞和利用是 Web 浏览器安全中两个不同但又相互关联的概念。虽然今天的 Web 浏览器代码中可能存在许多漏洞,但并非所有漏洞都可以被利用或被威胁分子积极利用。
未修补漏洞 | 了解零日和 N 日漏洞
当攻击者发现零日漏洞时,他们有机会在开发者意识到并发布安全补丁之前利用它。" 零日 " 这个名字源于一个令人不安的事实,即由于开发者没有意识到漏洞,他们没有时间(零日)来修复,在一个未打补丁的漏洞被公之于众后,从那时起,它常被称为 N 日漏洞,其中 N 表示从发现到发布补丁的天数。
零日漏洞和 N 日漏洞都是机会窗口,让网络犯罪分子可以趁机破坏用户数据、传播恶意软件或未经授权访问系统,利用这些漏洞可能会产生深远的后果,影响各种平台上的大量用户。Web 浏览器中的零日漏洞是网络安全最重要、最具挑战性的方面之一。
2023 年主要浏览器的被利用漏洞
WebP 漏洞不是最近影响互联网浏览器的唯一 CVE。谷歌在 2023 年为 Chrome 增添的补丁包括针对以下漏洞:
• CVE-2023-2033(CVSS 分数 :8.8)— V8 中的类型混淆
• CVE-2023-2136(CVSS 分数 :9.6)— Skia 图形库中的整数溢出
• CVE-2023-3079(CVSS 分数 :8.8)— V8 中的类型混淆
• CVE-2023-4863(CVSS 分数 :8.8)— WebP 中的堆缓冲区溢出
• CVE-2023-5217(CVSS 分数 :8.8)— libvpx 中 vp8 编码的堆缓冲区溢出
与此同时,苹果今年也针对 WebKit(为 Safari 及其他 Web 应用程序提供支持的浏览器引擎)中相当数量的零日漏洞发布了补丁。
•今年 2 月,针对 WebKit 零日漏洞 CVE-2023-23529 发布了补丁,该漏洞被用于攻击,以便在 iPhone、iPad 和 Mac 设备上执行代码。
•4 月,WebKit 释放后使用漏洞 CVE-2023-28205 被修补,以防止可能导致攻击者在受损设备上执行代码的漏洞。
•5 月,三个 WebKit 漏洞 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373 在被报告用于攻击后得到了修补。
•7 月,苹果修补了 WebKit 中的 CVE-2023-37450 漏洞,该漏洞也被广泛利用。
Mozilla 在 2023 年也修补了多个漏洞,包括 CVE-2023-34414、CVE-2023-34416、CVE-2023-4584/5 以及 Firefox 118 中的严重漏洞 CVE-2023-5217,最后一个漏洞与已知被大肆利用的 libvpx(WebP)漏洞有关。
近日,微软 Edge 同样针对 WebP 漏洞打了补丁。此外,去年 8 月的补丁星期二还修复了两个被大肆利用的零日漏洞:CVE-2023-36884 和 CVE-2023-38180,以及另外 23 个远程代码执行漏洞(其中 6 个被评为是 " 严重漏洞 ")。
与其他许多流行的浏览器:Vivaldi、Brave 和 Opera 一样,Edge 是一款基于 Chromium 的浏览器,所以谷歌 Chrome 中的许多同样漏洞也适用于这些浏览器和 Edge。
扩展和附件 | 扩大攻击面
虽然浏览器本身是一个容易下手的攻击面,但浏览器扩展、插件和附件也是恶意软件(尤其是信息窃取器)的攻击途径。
比如说,随着 ChatGPT 日益普及,威胁分子紧跟 AI 潮流,制作虚假的 ChatGPT 浏览器扩展,以劫持数千个 Facebook 企业账户,并传播一个名为 " 快速访问 ChatGPT" 的恶意信息窃取器。
一些下载网站中也发现了恶意扩展。今年 6 月,谷歌从 Chrome Web 商店中删除了 32 个恶意扩展,这些扩展的下载量总计超过 7500 万人次,这些鬼鬼祟祟的代码不仅包含用户期望的合法功能,还包含经过混淆处理的恶意代码。在一个例子中,PDF 工具箱扩展被用来将 JavaScript 注入到访问扩展的每个网站用户。虽然不清楚攻击者的目的是什么,但这种技术可以用来劫持搜索结果,并注入恶意链接。
虽然谷歌已采取行动从其 Web 商店中删除了已识别的扩展,但这种删除并不会自动从浏览器中停用或卸载这些扩展。
浏览器小心 | 网站提供(虚假)Chrome 更新
由于浏览器的使用如此广泛和持续,它们也可能为社会工程活动提供很好的诱饵。威胁分子使用恶意或有毒的网站来欺骗用户,让他们以为浏览器需要更新才能查看网站,然后向用户提供恶意下载,佯装这是所需的更新。
在最近此类活动的一个例子中,安全研究人员发现了一种新的 IDAT 加载器,它被用来投放 Stealc、Lumma 和 Amadey 之类的信息窃取器。该活动谎称自己是 Chrome 浏览器更新,将受害者重定向到另一个自动下载二进制文件的 URL,在打开虚假的更新二进制文件 "ChromeSetup.exe" 之后,它进而下载下一阶段的载荷。
插件和跨站脚本(XSS)漏洞
跨站脚本(XSS)是一种常见的 Web 应用程序安全漏洞,将恶意代码注入到网站或 Web 应用程序中,然后将其提供给访问该网站的其他用户。XSS 攻击常通过 Web 浏览器来执行。
CVE-2023-30777 于 2023 年 5 月被发现,这是 WordPress 高级自定义字段 PRO 插件(版本 6.1.5 及更早)中的一个漏洞。该漏洞允许攻击者注入恶意脚本或其他 HTML 载荷,有人访问包含这个高危插件的网站时,载荷就会执行。
XSS 漏洞还允许攻击者将恶意脚本(常用 JavaScript 编写)注入到 Web 应用程序的输入字段或用户生成的其他内容区域。这些脚本可以隐藏在看起来无害的数据中,比如评论、搜索查询或表单提交。当不知情的用户访问受感染的网页时,他们的 Web 浏览器会将注入的脚本作为页面内容的一部分来呈现。
恶意广告 | 浏览器软件的顽疾
由于浏览器的主要目的是访问网站并呈现内容,因此它们不可避免地受到出现在这些网站上的恶意代码的滥用,这类代码的一种更常见的形式是恶意广告,即传播恶意软件的在线广告。
不法分子像普通企业一样购买广告位,常使用自动化系统下订单。然后,他们创建嵌入恶意代码的广告,并通过合法的广告网络发布。
就连大受欢迎、备受信赖的网站也被发现无意中提供恶意广告。恶意广告可以用来投放无需用户交互的下载件:只要浏览器存在某些漏洞,或者广告中含有恶意链接,就能触发下载件。
浏览器广告软件 | 不仅仅很烦人
广告软件是一种祸害,在未经用户同意甚至不知情的情况下在设备上显示侵入性广告。广告软件常常与 Web 浏览器扩展或插件捆绑在一起安装,一旦安装上去,广告软件就会跟踪用户的在线行为,收集数据,然后显示针对性的广告为广告商大作宣传。此外,广告软件可能会将用户的 Web 浏览器重定向到特定的网站或收集个人信息。
广告软件通过消耗宝贵的系统资源和带宽来降低系统性能,最令人担忧的是,广告软件可以充当其他恶意软件的渠道,包括间谍软件和勒索软件。广告软件开发者是最高明的开发群体之一,他们经常使用类似恶意软件的混淆手法和反分析技巧来避免用户或安全软件的检测和删除。
提高 Web 浏览器的安全性
虽然浏览器供应商不断提供补丁更新,并开发新的扩展和附件来应对产品中的风险,但组织本身也可以尽量减少威胁,并保护浏览会话。
1. 做好浏览器安全基本功
•及时更新浏览器软件是网络安全的一个重要方面。大多数流行的浏览器会在重新启动时自动更新和 / 或在更新可用时提供通知,为了确保更新是正规的,应该始终通过浏览器内置的更新机制进行更新,应该避免手动下载,并且在任何情况下只从开发者的官方软件更新网站获取。
•为了方便,Web 浏览器通常提供保存密码的选项。然而,这种便利是以牺牲安全性为代价的,如果将密码存储在浏览器中,一旦安全泄密,密码就更容易被窃取。替代方案是,改而使用信誉良好的密码管理器,密码管理器不仅可以安全地存储凭据,还可以为每个帐户生成独特的强密码。
•书签也有助于提升浏览器安全。网络犯罪分子可以在经常访问的网站上设计骗局,诱骗用户输入凭据和敏感信息,为了降低这种风险,对经常使用的网站使用书签,这就降低了意外遇到假冒网站的可能性。
2. 编写面向全组织的浏览器政策和培训材料
组织领导可以与 IT 团队合作,确保基本的浏览器安全做法实现自动化。如果针对管理弹出窗口制定最佳实践设置、打开自动更新和只下载 IT 部门认可的浏览器安全附件,所有级别的用户都可以安全地浏览互联网。
在用户层面,要求持续的网络安全培训有助于建立更好的防御态势,并保护企业的数字资产,用户可以学会发现常见的威胁,比如网络钓鱼攻击、恶意下载和欺骗,然后立即标记问题。网络安全培训还强调了保持浏览器和相关软件版本最新的重要性,以及在浏览器中存储敏感数据的相关风险。
3. 购置威胁检测和响应解决方案
拥有可靠的检测和响应能力是确保 Web 浏览器会话安全的关键。XDR 通过整合来自各数据源(包括 Web 浏览器)的数据,提供了一种全面的安全方法。这意味着安全团队可以对所有系统保持警惕,实时发现潜在威胁和大肆利用的浏览器漏洞。
XDR 解决方案还使用高级分析和机器学习(ML)算法来检测异常或可疑的浏览器行为,帮助组织查明基于浏览器的漏洞,以免漏洞演变成全面攻击。通过分析用户活动、网络流量和端点数据,XDR 系统可以识别不然可能被忽视的威胁或恶意活动的迹象。
在基于浏览器的网络攻击环境中,XDR 允许安全团队快速有效地响应,当检测到攻击时,它会隔离受影响的端点,阻止恶意域,并立即采取补救措施,以减小威胁对组织网络造成的影响。
结论
鉴于 Web 浏览器在桌面和移动设备上无处不在,所以它们仍然是威胁分子窃取数字身份和个人信息或发动全面网络攻击的一条颇有吸引力的途径,感染 Web 浏览器可以用来在操作系统上站稳脚跟,劫持互联网流量或入侵在线帐户。
提高网络浏览器的安全性是需要多管齐下的方法,需要做好网络安全基本功,确保持续的用户教育,并拥有合适的检测和响应技术。
