无论是各大网络安全公司此前发布的威胁报告，还是Coalition这样的网络安全保险服务商公布的索赔数据，都明白无误地表明，勒索软件是2020年最猖獗的，同时也是给企业造成损失最大的攻击手段。而软件漏洞，尤其是高龄漏洞和Windows远程访问工具漏洞，则是勒索软件渗透企业防御体系的重要突破口。

根据Check Point的年中报告，2020年上半年观察到的攻击中，80%使用2017年及更早时间报告和注册的“旧漏洞”，超过20%的攻击使用至少7年的高龄漏洞。这表明我们在保持软件最新时有问题。

根据SenseCy的最新研究，勒索软件攻击并不都是由Windows漏洞触发的，很多攻击者利用了用于远程访问Windows网络的工具中的漏洞。以下是研究人员发现的勒索软件热衷使用的四大漏洞：

CVE-2019-19781：Citrix应用程序交付控制器

CVE-2019-19781影响Citrix的远程访问设备，于2019年12月披露，1月修复。攻击者使用Citrix漏洞作为入口点，然后转向其他Windows漏洞以获得进一步访问。

正如FireEye博客文章中指出的，Ragnarok勒索软件攻击使用Citrix漏洞作为突破口，然后下载用作Windows证书服务一部分的本机工具（在MITRE ATT&CK框架中归类为技术11005）。然后，攻击者下载执行since1969.exe二进制文件，该二进制文件位于目录 C：\Users\Public中，并从当前用户的证书缓存中删除URL。

为确保Citrix网关设备不受此漏洞影响，可以下载并使用GitHub上的FireEye/Citrix扫描工具（https://github.com/fireeye/ioc-scanner-CVE-2019-19781）。这一漏洞可用于传播Sodinokibi/REvil、 Ragnarok、DopplePaymer、Maze、CLOP以及Nephilim等多个勒索软件。Check Point的报告提到了类似的远程访问攻击趋势：使用远程访问技术（包括RDP和VPN）导致RDP暴力攻击急剧上升。

CVE-2019-11510：Pulse VPN漏洞

漏洞CVE-2019-11510今年被许多攻击者使用和滥用。Pulse Secure是一种VPN连接服务，随着远程办公的人的增加，此类VPN软件的使用也急剧增加。微软4月份的一篇博文指出：“REvil（也称为Sodinokibi）因访问并出售VPN服务商及其客户的账户和敏感信息而臭名昭著。在新冠疫情期间，此类活动更加猖獗。”

该漏洞曾被用于窃取和公开900多台VPN企业服务器的密码。今年6月，勒索软件Black Kingdom还利用Pulse VPN的这个漏洞发起攻击，冒充谷歌Chrome的合法定时任务。

CVE 2012-0158：微软Office通用控件

作为2020年勒索软件攻击最常用的四个漏洞之一，诞生于2012年的CVE 2012-0158属于高龄漏洞，但依然是2019年最危险的漏洞之一。2020年3月，多家政府和医疗机构成为攻击目标，攻击者试图通过发送名为 “20200323-sitrep-63-covid-19.doc”的富文本格式文件 （RTF）来利用这一漏洞。被受害者打开后，该文件会尝试通过利用Microsoft在MSCOMCTL.OCX库中的ListView/TreeView ActiveX控件中的已知缓冲区溢出漏洞（CVE-2012-0158）来投放EDA2勒索软件。

CVE-2018-8453：Windows Win32k 组件

CVE-2018-8453是2018年发现的Windows win32k.sys组件中的漏洞。在巴西能源公司Light S.A遭受的勒索软件攻击中，攻击者就利用了该公司Windows Win32k组件中的32位和64位漏洞来提权。

总结：勒索软件全面防护，始于漏洞管理

真正令人感到不安的趋势是，上述四大漏洞的数量和年龄。这表明大量企业的漏洞和补丁管理流程依然存在很大漏洞，企业需要尽快修补入口点并扫描补丁工具遗漏的高龄漏洞。

对于企业的安全主管们来说，不妨通过以下问题自查：您的端点会因新冠大流行而增加吗？新的端点是否得到及时的修补、保护和监控？您是否增加了遥测和汇报流程，以便更好地在问题发生之前就收到警报？