微软宣布已在其 Defender for Containers 和 Microsoft 365 Defender 产品中推出新功能,用于识别和修复 Apache Log4j 中广泛存在的漏洞。
Defender for Containers 于 12 月 9 日首次亮相,合并了现有 Microsoft Defender for Kubernetes 和 Microsoft Defender for Container Registry 的功能,并添加了 Kubernetes 原生部署、高级威胁检测和漏洞评估等新功能。
周一晚上,微软透露已更新了 Defender for Containers 解决方案,以发现容易受到 Log4j(一种广泛使用的日志软件组件)漏洞影响的容器镜像。
Defender for Containers 现在可以发现受 Log4j 中三个漏洞影响的图像,这些漏洞已被披露并现已修补,首先是 12 月 9 日对 Log4j 中远程代码执行缺陷的初步报告。
漏洞扫描
容器映像在推送到 Azure 容器注册表、从 Azure 容器注册表中提取以及在 Kubernetes 集群上运行时会自动扫描漏洞,微软的威胁情报团队在其关于 Log4j 漏洞的博客文章的更新中写道。
微软指出,能够扫描在 Kubernetes 集群上运行的容器映像中的漏洞的功能由网络公司 Qualys 的技术提供支持。
该团队在帖子中表示:“我们将继续跟进任何其他进展,如果报告任何其他漏洞,我们将更新我们的检测能力。”
Microsoft Defender for Containers 支持由云原生计算基金会认证的任何 Kubernetes 集群。与 Kubernetes 一起,它已经通过 Azure Kubernetes 服务 (AKS)、亚马逊弹性 Kubernetes 服务 (EKS)、Azure Stack HCI 上的 Azure Kubernetes 服务、AKS 引擎、Azure Red Hat OpenShift、Red Hat OpenShift(4.6 版或更高版本)进行测试、VMware Tanzu Kubernetes Grid 和 Rancher Kubernetes Engine。
Microsoft 365 Defender 更新
同时,对于 Microsoft 365 Defender,该公司表示已经引入了一个综合仪表板,用于管理与 Log4j 缺陷相关的威胁和漏洞。该仪表板将“帮助客户识别和修复暴露于 Log4j 漏洞的文件、软件和设备,”微软的威胁情报团队在推特上写道。
微软表示,Windows 和 Windows Server 以及 Linux 都支持这些功能。但是,对于 Linux,这些功能需要更新到版本 101.52.57 或更高版本的 Microsoft Defender for Endpoint Linux 客户端。
威胁情报团队在博客文章中说,这个“专用的 Log4j 仪表板”提供了“跨易受攻击的设备、易受攻击的软件和易受攻击的文件的各种发现的综合视图”。
此外,微软表示已经为 Microsoft 365 Defender 推出了一个新的高级搜索模式,“它可以显示磁盘中的文件级发现,并提供将它们与高级搜索中的其他上下文相关联的能力。”
“这些新功能与现有的威胁和漏洞管理经验相结合,并正在逐步推出,”微软的威胁情报团队在帖子中表示。
该帖子称,发现功能涵盖已知存在 Log4j RCE 漏洞的已安装应用程序 CPE(通用平台枚举),以及易受攻击的 Log4j Java 存档(JAR)文件。
即将支持 macOS
微软表示正在努力为 Apple macOS 的 Microsoft 365 Defender 中的功能添加支持,并表示 macOS 设备的功能“将很快推出”。
防止 Log4j 漏洞的新功能加入了 Microsoft 产品中用于解决该漏洞的其他功能,称为 Log4Shell。这些其他产品包括 Microsoft Sentinel、Azure Firewall Premium、Azure Web 应用程序防火墙、RiskIQ EASM 和威胁情报、Microsoft Defender Antivirus、Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Cloud 和 Microsoft Defender for IoT。
除了提供企业使用的一些最大的平台和云服务外,微软还是一家主要的网络安全供应商,拥有 650,000 名安全客户。
Microsoft 已报告观察到利用 Log4Shell 的活动,例如企图部署勒索软件、加密挖掘、凭据盗窃、横向移动和数据泄露。
该公司此前表示,已观察到多个网络犯罪团伙试图通过利用 Log4j 中的漏洞来建立网络访问权限的活动。预计这些可疑的“访问经纪人”稍后会将该访问权限出售给勒索软件运营商。
该公司表示,它们的到来表明 Windows 和 Linux 系统可能会出现“人为操作的勒索软件的增加”。
普遍存在的漏洞
微软和网络公司 Mandiant 还表示,他们观察到与中国和伊朗等国家有关的民族国家组织的活动,试图利用 Log4j 漏洞。微软表示,一个名为 Phosphorus 的伊朗组织曾部署过勒索软件,被发现“获取并修改了 Log4j 漏洞”。
此外,该公司此前表示,已观察到一个名为 Khonsari 的新型勒索软件家族,它利用 Apache Log4j 中的漏洞攻击非微软托管的 Minecraft 服务器。
由于今天发布的 2.17.1 版本之前的 Log4j 存在缺陷,许多用 Java 编写的企业应用程序和云服务可能容易受到攻击。大多数大型组织都相信开源日志库以某种形式直接或间接使用 Java 框架使用。
Log4j 2.17.1 版本解决了一个新发现的漏洞(CVE-2021-44832),并且是自最初发现 RCE 漏洞以来 Log4j 软件中的第四个漏洞补丁。
Bugcrowd 的创始人兼首席技术官 Casey Ellis 分享的一份声明中表示,Log4j 中新发现的漏洞“需要一组相当模糊的条件才能触发”。“因此,虽然人们密切关注新发布的 CVE 以获取态势感知很重要,但该 CVE 似乎并没有增加已经升高的通过 Log4j 被入侵的风险。”