一項曝露超過8年、至少有11個國家級駭客利用的零時差漏洞,因為微軟決定不予修補,在研究人員公布相關發現後,引起各界高度關注。
趨勢科技旗下的漏洞懸賞專案Zero Day Initiative(ZDI)指出,他們去年9月發現利用零時差漏洞ZDI-CAN-25373攻擊行動,這波攻擊最早可追溯到2017年,來自北韓、伊朗、俄羅斯、中國的11個國家級駭客利用這項漏洞,針對北美洲、南美洲、歐洲、亞洲、澳洲從事相關攻擊,範圍涵蓋政府機關、金融機構、電信業者、軍事單位、能源產業等領域。除此之外,也有以經濟利益為動機的駭客加入漏洞利用的行列。
這些駭客使用LNK檔案未公布的命令列參數來觸發漏洞,從而在不被偵測到的情況下執行惡意酬載。研究人員總共找到接近1千個駭客使用的捷徑檔(Shell Link檔案,副檔名為LNK),並研判駭客實際使用的惡意檔案數量遠大於此。ZDI向微軟通報這項弱點並得到確認,但微軟起初表示該弱點並未達到服務條件,決定不予修補。在資安媒體廣泛報導ZDI的發現後,微軟發言人也做出新的說明,表示雖然該弱點雖然未達到該公司立即處理的標準,但他們將考慮在未來的功能發布當中緩解。
究竟ZDI-CAN-25373是什麼樣的漏洞?ZDI指出發生的原因在於Windows處理LNK檔案的過程,攻擊者只要利用這種弱點,就能在LNK納入特製的危險內容,但使用者無法從Windows提供的介面看到這些內容,使得攻擊者能在使用者不知情的情況下挾帶惡意命令。一旦攻擊者利用這項漏洞,就有機會以使用者的身分執行任意程式碼,CVSS風險評為7.0分。
不過,利用這項漏洞存在必要條件,那就是攻擊者必須與使用者互動,引誘他們存取惡意網頁,或是開啟惡意檔案。
而對於利用這項漏洞的駭客身分,根據使用的惡意LNK檔案數量,ZDI表示最多的勒索軟體駭客Evil Corp,有86個,其次是北韓駭客Kimsuky、Konni,以及來自南亞的Bitter,分別有24、17、16個。但除此之外,研究人員也確認有其他國家級駭客使用這項漏洞的情況,包含北韓駭客Lazarus,中國駭客Mustang Panda、APT10、RedHotel(TAG-22)、俄羅斯駭客Gamaredon、Red Curl,伊朗駭客APT35、MuddyWater,印度駭客Patchwork、SideWinder等。值得留意的是,對於大部分的惡意LNK檔案,研究人員無法確認攻擊者的身分。
針對駭客的目的,主要是進行資料竊取(68.2%),但也有牟取經濟利益(22.7%)、破壞網路環境(4.55%)的情況。
這些駭客成功利用漏洞之後,也會散布其他惡意酬載進行後續活動,其中包含了Lumma Stealer、GuLoader、Remcos,但研究人員提及有駭客租用其他惡意軟體(Malware-as-a-Service)的情況。
熱門新聞
2025-03-17
2025-03-17
2025-03-18
2025-03-18
2025-03-17
2025-03-17
