微软警告黑客利用公开披露的0天漏洞

微软警告称，民族国家和犯罪行为体越来越多地利用公开披露的零日漏洞来破坏目标环境。

这家科技巨头在其114页的《数字防御报告》中表示，它“发现了漏洞发布与该漏洞商品化之间的时间缩短”，因此组织必须及时修补此类漏洞。

这也与2022年4月美国网络安全和基础设施安全局（CISA）的一份咨询报告相吻合，该咨询报告发现，不良行为者正在“积极”针对新披露的软件漏洞，在全球范围内打击广泛的目标。

微软指出，在公开披露漏洞后，平均只需14天就可以在野外利用漏洞。微软表示，虽然零日攻击最初的范围有限，但它们往往会被其他威胁行为体迅速采用，导致在安装补丁之前发生无差别的探测事件。

它还指责中国国家赞助的组织在发现和开发零日漏洞方面“特别熟练”。

2021 9月，中国网络空间管理局（CAC）颁布了一项新的漏洞报告条例，要求在与产品开发商共享安全漏洞之前，向政府报告这些漏洞，这使得情况更加复杂。

雷德蒙进一步表示，这项法律可能会使政府支持的分子能够储存并武器化报告中的漏洞，从而增加零日间谍活动的使用，以促进中国的经济和军事利益。

在被其他敌对团体攻击之前，中国行为者首先利用的一些漏洞包括-

• CVE-2021-35211 (CVSS score: 10.0) - A remote code execution flaw in SolarWinds Serv-U Managed File Transfer Server and Serv-U Secure FTP software that was exploited by DEV-0322.
• CVE-2021-40539 (CVSS score: 9.8) - An authentication bypass flaw in Zoho ManageEngine ADSelfService Plus that was exploited by DEV-0322 (TiltedTemple).
• CVE-2021-44077 (CVSS score: 9.8) - An unauthenticated remote code execution flaw in Zoho ManageEngine ServiceDesk Plus that was exploited by DEV-0322 (TiltedTemple).
• CVE-2021-42321 (CVSS score: 8.8) - A remote code execution flaw in Microsoft Exchange Server that was exploited three days after it was revealed during the Tianfu Cup hacking contest on October 16-17, 2021.
• 编号2022-26134 (CVSS score: 9.8) - An Object-Graph Navigation Language (OGNL) injection flaw in Atlassian Confluence that's likely to have been leveraged by a China-affiliated actor against an unnamed U.S. entity days before the flaw's disclosure on June 2.

这一发现也是在CISA发布了一份自2020年以来被中国行为体用来窃取知识产权和开发进入敏感网络的顶级漏洞清单近一个月后得出的。

该公司表示：“零日漏洞是一种特别有效的初始利用手段，一旦公开暴露，其他民族国家和犯罪行为体可以迅速利用漏洞”。