浏覽器插件Silverlight用於微軟解決Adobe Flash問題。雖然現在還沒有什麼名氣,但Silverlight正被Netflix用於其即時視頻流服務。在此之前,Silverlight躲過了攻擊者的注意,因為攻擊者專注於更常見的浏覽器插件,例如Java、Flash和Adobe的Acrobat Reader。然而,現在Silverlight已經被成功利用,它正逐漸成為攻擊者感染和攻擊用戶計算機的攻擊向量。
Java和Silverlight之間有很多相似之處:它們都運行在沙箱中,默認情況下只有低權限,以限制對設備的文件系統和其他系統資源的訪問。也就是說,攻擊者必須攻破沙箱才能實現攻擊。安全研究人員已經發現Fiesta、Nuclear、RIG和Angler等漏洞利用工具包現在包含針對Silverlight中漏洞的攻擊,這些工具包在過去主要針對基於Java的漏洞利用。
這些攻擊通常需要吸引用戶到攻擊者控制的網站,檢查其設備是否已經安裝了Silverlight,然後試圖利用漏洞來感染受害者的系統。這些路過式攻擊也被用來利用其它浏覽器插件中的漏洞。
令人沮喪的是,很多這些攻擊利用的是供應商已經發出補丁的漏洞。與往常一樣,企業需要確保用戶的操作系統和應用軟件保持更新,並確保設備運行較舊版本不超過絕對必要的時間范圍。管理員應該為所有網絡用戶配置Silverlight自動更新,防止用戶更改更新設置。如果Silverlight在你的企業並不是必不可少的因素,你應該禁止使用該插件。
在攻擊者能夠利用Silverlight漏洞之前,攻擊者需要誘騙用戶訪問包含其攻擊代碼的網頁,這通常是通過讓用戶點擊郵件中的鏈接或者即時消息來實現。企業必須教導用戶不要點擊未知來源的鏈接;這仍然是安全意識培訓中非常重要的方面。此外,另一種誘騙用戶到惡意網頁的攻擊技術是惡意廣告,即感染合法在線廣告網絡。保持更新端點反惡意軟件應該是企業分層安全戰略的重要組成部分,同時要注意的是,雖然很多反惡意軟件供應商了解Java漏洞利用的原理,也知道如何利用啟發式分析來發現它們,但基於Silverlight的漏洞利用仍然相對較新。不過,在Silverlight漏洞利用曝光後,修復補丁應該很快會出現。具有動態URL過濾的Web安全網關也可以幫助阻止對很多新的快速變化惡意網站的意外訪問。
有些企業在開發自己的Silverlight應用以供內部使用,這些企業應該確保其開發人員完全了解該應用與其他應用和資源交互的安全隱患,例如本地即時消息或HTML Bridge——管理應用和HTML頁面之間的調用。Silverlight應用加載的任何組件都可能是惡意的,因此,企業應該確保應用只能加載受信任的組件。總目標應該是盡可能地保持該應用的隔離。
攻擊者還將繼續利用Silverlight,因為它為攻擊者開辟了另一個攻擊向量,這同時也是企業還沒有做好充分准備的攻擊向量。有針對性的攻擊可能瞄准正在旅途中使用企業筆記本觀看Netflix的高管,這是企業需要考慮的情況。管理員應該檢查Silverlight是否是必要的插件;如果是,請確保相關人員、流程和技術的安全使用。
如何抵御針對Silverlight的路過式攻擊?.