當資安漏洞被發現後，您應該要知道的歷程與關鍵做法

當漏洞遇到可利用(Exploitable)，POC攻擊概念驗證

什麼是「POC攻擊概念驗證」

最近有部熱門的電影「奧本海默」講述世界武器-原子彈的研製過程，而你知道嗎？原子彈是從理論被驗證後而實現的結果。而套用到資安所說的「漏洞」，當一個漏洞被發現時它可能是個缺陷或問題，還不代表該漏洞是可以被拿來作為攻擊利用的，除非被進一步想到有方法可加以利用並產生某種程度或範圍的影響，而這個攻擊想法經過「概念驗證POC (Proof of Concept)」確認其可行性，因此當某個漏洞被確認POC攻擊驗證成立就意味著有攻擊手法可以達成，警鐘就此敲響。

基本上，不見得每個漏洞都是危險的，但是當發現漏洞的存在時就代表有安全風險的疑慮，假如這個漏洞是有可能被拿來利用作為攻擊，並且還被驗證出是可行的話就表示這個漏洞能被當作武器，假使驗證過程發現是容易就能達成的話，那就意味著這個漏洞「非常危險！」。

案例分享：「Follina漏洞」的POC概念驗證

先前我們所解說的「Follina漏洞」恰好是屬於可行性非常容易達成攻擊的類型，以下就針對Follina漏洞的攻擊模式進行POC驗證過程，希望在過程中的拆解說明能幫助您有更多的認識。

POC驗證過程簡述

我們模擬在受害者電腦執行惡意Word文件檔連線至中繼下載執行payload，進一步呼叫微軟支援診斷工具進行任意程式碼執行時，偵測到微軟Office程序呼叫執行其他子程序的可疑行為，判定為「可疑行為(Malicious Behavior)」並將程序終止。

Step 1：在實驗環境中，透過Kali系統模擬攻擊方來執行攻擊程式：cve-2022-30190.py，並在攻擊端建立駭客中繼站(C&C)，等待受害者執行惡意 Word 文件檔，連線下載 payload。

Step 2 & Step 3：當受害者執行惡意MS Office Word文件檔，此時受害者電腦將連線至駭客中繼站(C&C)進行下載執行payload 載入含有惡意行為的網頁。

Step 3 & Step 4：在受害者電腦透過惡意MS Office Word 文件檔載入含有惡意行為的網頁後，則進一步呼叫微軟支援診斷工具MSDT執行。假如MSDT沒有修補Fillina漏洞的情況下，將會被利用遠端執行程式指令。

Step 5：攻擊方利用有漏洞問題的微軟支援診斷工具MSDT 來執行任意的程式碼進行惡意攻擊動作，在此模擬攻擊中我們透過「遠端呼叫執行受害者電腦的小算盤程式」來呈現攻擊結果。

接收到漏洞通報的關鍵做法

一個漏洞的發現到確認可被利用作為駭客攻擊武器的過程，有時很快就出現，有時則是經歷多時才會被找出適合的利用方式，但有更多時候是被利用在掩護的過程中。

從上述以「Follina漏洞 (CVE-2022-30190)」作為POC概念驗證的示範案例中，各位可以想像這個漏洞的可利用性很高、執行的做法難度低、環境條件很普遍，更重要的是很容易掩護。以現在的資安環境下，駭客的攻擊手法會採取不容易被察覺的方式並加上分段復合的程序，非常懂得利用受害者所相信的合法、不會懷疑的工具或行為，尤其是避開受害者環境中最常用的傳統資安防護工具: 電腦防毒及網路防火牆。

因此，當您再次接收到漏洞的情報時，先不用慌張，記得先查看或諮詢這些漏洞的幾個關鍵資訊：

1. 您的環境中是否存在受影響的系統軟體版本？

2. 漏洞公布的風險分數(CVSS) 以及 是否存在可被利用性(Exploitable)？

3. 確認漏洞的攻擊概念驗證攻擊難易度及影響嚴重性？

4. 評估環境受影響系統的可運用資安防護？

5. 儘速著手漏洞的修補更新

或許您還是覺得有執行上的困難，也可以尋求我們的WIZON資安即服務，協助您快速、輕鬆、少負擔的做好資安防護。

立即連絡WIZON專家