CISA 警告 Windows 和 Adobe Acrobat 漏洞正被积极利用

执行摘要

美国网络安全和基础设施安全局（CISA）在其已知被利用漏洞（KEV）目录中新增了两个正在被积极利用的漏洞，并要求联邦机构在2024年4月16日之前修补它们。第一个漏洞，编号为CVE-2024-21412，是微软Windows SmartScreen功能的安全性绕过缺陷。第二个漏洞，CVE-2024-20662，是Adobe Acrobat Reader DC中的一个关键远程代码执行漏洞。两者都已确认正在被积极攻击，尽管CISA并未披露具体利用它们的威胁行为者和活动。

技术分析

CVE-2024-21412 是微软Windows SmartScreen中的一个互联网快捷方式文件安全功能绕过漏洞。根据微软的公告，攻击者可以制作一个恶意文件来绕过SmartScreen用户体验，该用户体验旨在在用户打开来自互联网的未识别或潜在危险文件之前警告用户。成功利用可能允许攻击者在没有典型安全警告的情况下传递恶意软件，有效地欺骗用户执行恶意代码。微软在2024年2月的补丁星期二更新中修补了这个漏洞，将其评为重要，CVSS得分为8.1。

CVE-2024-20662 是Adobe Acrobat Reader DC版本2023.008.20470及更早版本，以及2020.008.20513及更早版本中的一个越界写入漏洞。Adobe的公告指出，利用可能导致当前用户上下文中的任意代码执行。攻击者需要说服用户打开一个特别制作的PDF文件，然后可能触发漏洞。Adobe在2024年1月修补了这个缺陷，将其评为关键，优先级为2。该漏洞的CVSS基础得分为7.8。

入侵指标

目前没有识别出任何入侵指标。CISA的KEV目录条目没有提供具体的IOC。建议组织监控与互联网快捷方式（.url）文件或来自不可信来源的PDF文档传输相关的异常网络流量或文件执行事件。

战术、技术与程序

根据漏洞的性质，可能的利用链涉及初始访问技术。对于CVE-2024-21412，攻击者可能会使用网络钓鱼（T1566）来传递恶意的互联网快捷方式文件。利用将构成用户执行：恶意文件（T1204.002）技术，该缺陷使指标清除：文件删除（T1070.004）子技术的绕过成为可能，因为它绕过了安全警告。对于CVE-2024-20662，利用也符合用户执行：恶意文件（T1204.002），通过网络钓鱼或被破坏的网站传递，导致利用客户端执行（T1203）。在这两种情况下，最终目标可能是建立初始立足点，以便进行后续行动，如数据盗窃或勒索软件部署。

威胁行为者背景

CISA公告或源材料中没有列出利用这些漏洞的具体威胁行为者。CISA已确认这些漏洞正在被积极利用，并要求联邦机构进行修补，这表明这些缺陷正在被用于现实世界的攻击中。这些漏洞对于包括国家支持的高级持续性威胁（APT）组织、网络犯罪勒索软件运营商和初始访问经纪人在内的广泛对手来说，都是宝贵的商品。缺乏公开归因表明，这些漏洞可能被用于有限的、针对性的活动，或者是更广泛、讨论较少的犯罪工具包的一部分。

缓解措施与建议

最主要的和最关键的缓解措施是立即修补。联邦机构受CISA的约束性操作指令（BOD）22-01的约束，必须在2024年4月16日之前应用这些CVE的补丁。所有组织应优先执行此操作：

• 应用2024年2月的微软安全更新，以解决CVE-2024-21412。
• 将Adobe Acrobat Reader DC更新到2024.001.20615或更高版本，以解决CVE-2024-20662。

其他防御措施包括：

• 实施应用程序允许列表，以防止执行未经批准的软件，包括恶意PDF阅读器或脚本。
• 执行网络分段和强大的端点检测和响应（EDR），以限制横向移动并检测利用后的活动。
• 进行用户意识培训，重点在于识别网络钓鱼尝试和打开未知来源文件的危险，即使没有立即出现安全警告。
• 如果不需要用于业务操作，可以在电子邮件网关处阻止互联网快捷方式（.url）文件。