2023/2024年度十大被黑原因深度解析
作者:Jordan Drysdale 和 Kent Ickler
第十名:防火墙问题
更准确的描述应为"基于防火墙的限制缺失"。组织应在工作站和服务器上启用东西向防火墙,允许无限制访问工作站网络存在严重风险。若通过组策略主动禁用防火墙,建议重新评估这种配置的安全文化背景。缺乏网络分段和任意VLAN间的any:any规则集同样值得关注。最危险的暴露端口是SMB TCP 445端口——应当关闭并阻止其出站通信。远程过程调用(RPC)允许从配置更改到安全内存访问的各种操作,必须减少此类暴露。
第九名:消息完整性检查
消息完整性检查(MIC)是验证通信发起方身份的基础机制,可通过客户端与服务器间的快速消息摘要交换实现身份验证。该机制能显著降低凭证中继攻击的有效性,特别是SMB中继和LDAP中继攻击(这两种协议均支持消息签名功能)。
相关技术文档:
- SMB签名:https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/overview-server-message-block-signing
- LDAP签名:https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-ldap-signing-in-windows-server
第八名:默认配置风险
默认配置漏洞包括:
- 默认机器账户配额
- SMB和LDAP签名缺失
- 高保真端点日志记录
- 弱密码策略
- NTLM认证
- 未保护用户
- ADCS ESC1漏洞(注册者提供主题)
- LLMNR、mDNS和NBNS协议
- LAPS密码明文存储
- SCCM和MECM凭证泄露
- Panther unattend.xml文件
- 浏览器WPAD漏洞
- 攻击技术盲区
攻击者常组合利用这些弱点建立立足点、提升权限和横向移动。
第七名:补丁管理失效
参考CISA 2023年度被黑原因分析(AA24-317a),即使存在补丁的近年漏洞也常未被修复。漏洞武器化速度加快与补丁滞后形成双重压力。从内网安全评估视角看,维护支持合同、更新设备软件和保持资产清单都是重大挑战。
第六名:弱协议滥用
LLMNR、WPAD配置请求和mDNS等协议仍在导致系统沦陷,这些协议的安全缺陷持续被攻击者利用。
第五名:Web应用漏洞
暴露包含多个过时脆弱组件的互联网应用尤为危险。典型电商站点可能存储邮箱、用户名和密码,同时存在框架组件、代码库、逻辑缺陷、输入验证和会话管理问题。应用24/7暴露于攻击者网络,使漏洞持续发现成为常态,许多漏洞直到被主动利用才被发现。
第四名:员工因素
截至2024年10月,CPT团队最常用的初始接入技术是服务台电话、社会工程和密码重置(源自Wild West Hackin’ Fest案例分享)。
第三名:威胁可见性
虽然威胁检测能力整体提升,但沦陷检测时间仍然过长。IBM年度宏观违规分析显示:“企业陷入违规-遏制-后果的循环”,检测延迟问题依然突出。
第二名:ADCS漏洞
证书环境需彻底审查。尽管通过弱注册模板和Web注册服务的域沦陷频率可能下降,但ADCS攻击链仍可在5分钟内完成域妥协。必须审计证书模板并在证书机构启用审计功能。
关键资源:
- Certipy工具:https://github.com/ly4k/Certipy
- Certify工具:https://github.com/GhostPack/Certify
- 微软审计指南:https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-certification-services
第一名:凭证管理
弱密码策略导致用户使用脆弱密码,90天轮换周期催生了"季节+年份"类密码模式。建议采用口令短语替代传统密码。文件共享、脚本、源代码和描述属性仍在提供权限提升途径。浏览器数据泄漏和信息窃取木马导致大量凭证外泄,由于密码复用,员工可能在外部平台使用企业密码,形成持续违规循环。必须监控数据泄露事件并评估暴露面。
结语: 本榜单为基础分析,若获得足够关注,后续可能推出深度解析系列。感谢阅读!
-jd / ki