“漏洞之王”微软的威胁态势与挑战

近年来经过一连串收购，微软公司已经“内卷”成为一家网络安全巨头，但是这个牵动千万家企业客户的科技巨头自身的安全态势和安全挑战却鲜为人知。

漏洞之王

在过去的几年中，与微软有关的漏洞和黑客攻击的负面消息不绝于耳。显然，无处不在的微软产品(及其中的漏洞)对于黑客来说是极具吸引力的攻击媒介。根据美国网络安全和基础设施安全局(CISA)的一份报告，自2022年初以来，微软已报告了238个网络安全漏洞，占今年迄今为止发现的所有漏洞的30%。

2021年，美国国家安全局(NSA)、FBI、CISA和CIA等主要机构发布了黑客利用最多的15个漏洞和暴露(CVE)。其中，60%（9个）来自微软设计、运营和拥有的系统，包括Exchange Server中的7个CVE。

尤其让美国网络安全专家们感到焦虑的是，微软在美国政府IT系统和办公采购中占据主导地位，市场份额高达85%，这意味着微软面临的黑客威胁，也是美国政府的安全挑战。

微软在2021年底再次成为头条新闻，微软警告客户Azure云平台中央数据库Cosmos DB的一个组件（可视化工具Jupyter Notebook）存在配置错误，该组件默认启用，导致数据暴露长达两年。安全公司Wiz的一个研究团队发现通过该漏洞能够获取数千家公司的数据库的访问密钥。成千上万依赖Azure Cosmos DB的客户（包括埃克森美孚和可口可乐等知名企业）的数据库面临被未授权访问、写入或删除的巨大风险。

由于微软产品生态系统中不断发现黑客攻击和漏洞，其他科技巨头，如谷歌，已经在网络安全创新领域超越了微软。最近，在Cloud Next '22活动中，谷歌发布了一项快速漏洞检测服务。该工具是Security Command Center Premium中的一项零配置服务，可检测暴露的管理界面、弱凭据和不完整的软件安装等漏洞。

作为一家产品和客户遍布全球的科技巨头，微软的网络安全实践存在哪些短板？微软未来面临（带给我们）什么样的威胁？

脆弱的巨鲨

在过去的15年中，微软在强化Windows内核方面取得了进展，Windows内核是黑客接管设备的关键所在，微软对可在内核模式下运行的系统驱动程序引入了新的严格限制，这被看作是微软加固内核的关键举措。

2019年2月，软件公司SolarWinds遭到名为Nobelium的疑似国家黑客组织的软件供应链攻击。该组织获得了对数千名SolarWinds客户的网络、系统和数据的访问权限，从而导致了有史以来最大规模的黑客攻击，根据事件的有关报道，微软产品的漏洞大大增加了SolarWinds攻击的破坏性。

前白宫网络政策主管安德鲁·格洛托表示，此类攻击的一部分原因在于遗留代码库问题。

“微软产品需要付出很多努力才能以正确的方式进行配置，并且由于此类配置问题，这些产品很容易受到利用。攻击者越来越深入地渗透到受害者的网络中，并利用了微软产品中的配置问题”格洛托说道。

坏消息接踵而来，2021年3月，一群代号Hafnium的黑客利用微软Exchange软件的弱点，控制了大量企业服务器并访问敏感的公司和政府组织信息。FBI甚至需要“黑入”数百台美国企业的计算机服务器才最终清除Hafnium恶意软件。作为补救措施，2021年4月微软一口气发布了114个关键漏洞的补丁。

2022年3月，微软宣布遭到犯罪黑客组织Lapsus$的入侵，后者入侵了一个微软内部帐户，能够“有限地访问”公司数据。然而，微软否认该犯罪集团获得了任何微软客户的数据。

微软后来承认，Lapsus￥窃取了微软某些产品相关的部分源代码。Lapsus$方面则声称已经获得了Bing搜索引擎和Cortana语音助手的源代码。（但微软声称其安全措施并不依赖其源代码的保密性）

北极狼（Arctic Wolf）首席产品官、前微软安全主管Dan Schiappa认为，微软的软件代码通常新旧混合，这意味着很难确保没有漏洞：“微软需要借助整个网络安全生态系统来帮助其庞大的技术基础。微软会持续改善安全状况，但我不相信微软有办法显著降低风险。因此，搭配适当的安全产品组合或服务是确保您安全使用微软产品的最佳方式。”

微软的产品生态系统瓶颈

作为市场上占主导地位的企业技术供应商，微软的产品始终是攻击者的热门目标。例如：

威胁情报公司Cluster25最近报告称，俄罗斯GRU（俄罗斯总参谋部主要情报局）旗下的威胁组织APT28（又名Fancy Bear）早在9月9日就使用新策略部署了Graphite恶意软件。

攻击者使用PowerPoint(.PPT)文件引诱目标，当受害者以演示模式打开文档并将鼠标悬停在超链接上时，会启动恶意PowerShell脚本，从Microsoft OneDrive帐户下载JPEG文件。该文档还包括一个超链接，该链接通过SyncAppvPublishingServer工具触发恶意PowerShell脚本的执行，使用受害者计算机上的Microsoft Graph API和OneDrive进行进一步的命令和控制通信。

此外，易受攻击的Microsoft SQL服务器也成为新一轮FARGO勒索软件攻击的目标。MS-SQL服务器是数据库管理系统，用于保存互联网服务和应用程序的数据，攻击者对这些数据的泄露和破坏可导致严重的业务问题。FARGO与GlobeImposter一样，是以MS-SQL服务器为重点的勒索软件之一。

安全专家后来发现这些漏洞是由于使用了弱凭据，以及受害者服务器缺少最新的安全补丁，这与微软难以配置的早期问题相呼应。

微软的Windows10操作系统也在引发新的焦虑。根据Lansweeper的研究，在Windows11首次公开发布一年后，只有2.6%的用户升级到了Windows11。由于Microsoft严格的系统要求，42%的PC甚至没有资格进行自动升级。这意味着企业IT经理们难以在2025年之前升级或更换数百万台机器，而届时微软表示将停止支持Windows10。

CISO如何降低风险

Anomali威胁研究副总裁Steve Benton认为，利用已知漏洞只是达到目的的一种手段，是攻击链的一部分，其中包含多个必须成功的组件。

“严酷的事实是，我们都应该接受这样一个想法，即你不应该依赖任何产品来保证100%的安全，”Benton说道：“人们必须制定并执行一项战略，将一整套多层安全控制措施落实到位。该策略应该专注于由TTP（策略、技术和程序）组成的更广泛的攻击链，这些攻击链由攻击者驱动，其动机和目标通过相关的、可操作的情报来理解。”

Benton建议采用三重方法：

• 多层纵深防御策略。确保您了解您的攻击面和关键资产，并部署了一套重叠的多层安全控制。此外，确保这些组件完全部署到目标范围、完全可操作并受到监控。
• 减少暴露。为所有这些组件定义策略和标准，防止漏洞暴露（即，不要将自己廉价地暴露给攻击者）。
• 威胁情报能力。分析什么样的黑客可能会攻击你，揣测他们的动机或最终目标，以及他们可能会如何实施。这种关键情报能力使企业保护业务和客户时能够确定资源的优先级，并针对与企业相关的当前和新兴威胁建立和维护动态安全态势。

Alert Logic安全研究和威胁情报主管Mike Dausin表示：“积极的漏洞和补丁管理策略是企业安全管理的头等大事。与此同时，采集设备产生的情报数据至关重要。许多成功的攻击之所以被忽视，仅仅是因为来自受影响设备的日志和信号未被注意。收集、处理和监控这些信号对于捕捉现代威胁至关重要。”

微软的未来会怎样

Deep Instinct竞争情报分析师Jerrod Piker表示，微软软件解决方案在全球各种规模的企业中仍将广泛使用，未来新漏洞的发现速度可能比目前更快。最近暴露的微软漏洞表明，这些漏洞利用的复杂性和规模将继续增长。

Piker认为，虽然微软提供了一套广泛的安全解决方案，但在保护自身软件开发生命周期本身方面似乎没有取得重大进展。

“微软自身的安全工作相对被动，未能成功地将安全融入软件开发流程，这一点没有根本性的改变之前，我们很可能不会看到微软软件解决方案漏洞的数量有显著降低。”Piker说道。

在刚刚公布的2022三季度财报中，微软的云服务给出了亮眼的增长数据。但Piker认为，只有当基本安全功能成为微软所有价位的云服务的标配时，其安全承诺才能完全实现。

“事件记录和多因素身份验证等基本安全功能应该被视为标准的IT功能。不幸的是，微软的云生态系统似乎仍然缺少这种底层功能，”Piker指出：“从安全角度来看，这是制约微软云生态系统发挥其全部潜力的一个因素。”