微软警告：Log4j 漏洞攻击水平仍然很高

在12月之前微软探测系统中发现的Log4j“Log4Shell”缺陷后，微软已警告Windows和Azure 客户保持警惕。

Apache软件基金会披露，Log4Shell可能需要数年时间才能修复，因为错误日志软件组件在应用程序和服务中的使用范围非常广泛。

美国联邦贸易委员会已发出警告，将追捕未修复Java 日志记录包 Log4j 中的漏洞的公司。

该机构周二表示：“FTC 打算利用其全部法律权力追究未能采取合理措施保护消费者数据免遭 Log4j 或未来类似已知漏洞暴露的公司。未能识别和修补该软件的实例可能违反 FTC 法案。”

FTC表示：“Log4j 漏洞是更广泛的结构性问题的一部分。它是数以千计的鲜为人知但至关重要的开源服务之一，这些服务在几乎无数的互联网公司中使用。” 

本周二早些时候，微软警告说，客户可能不知道 Log4j 问题在他们的环境中有多普遍。在过去的一个月里，微软发布了许多更新，包括对其 Defender 安全软件的更新，以帮助客户在攻击者加强扫描活动时识别问题。

LOG4J 缺陷覆盖范围

• Log4j缺陷：攻击者正在尝试利用此严重漏洞进行数以千计的尝试
• 安全警告：Log4j Java 库中的新零日漏洞已被利用
• Log4j RCE活动于12月1日开始，因为僵尸网络开始使用漏洞

“在12月的最后几周，攻击尝试和测试一直很高。我们观察到许多现有的攻击者在他们现有的恶意软件工具包和策略中添加了对这些漏洞的利用，从硬币矿工到手动键盘攻击，”Microsoft 365 Defender威胁情报团队和微软威胁情报中心(MSTIC)在1月3日的更新中表示。

客户应该假设漏洞利用代码和扫描功能的广泛可用性对他们的环境构成真实存在的危险。因此，它鼓励客户利用脚本和扫描工具来评估他们的风险和影响。

目前，微软已经观察到攻击者使用许多相同的库存技术来定位目标。已经观察到复杂的对手(如民族国家行为者)和商品攻击者都在利用这些漏洞。扩大使用这些漏洞的潜力很大。该漏洞可能让一些安全团队在圣诞节期间没有太多休息时间，以至于英国NCSC发出警告，提防负责修复工作的员工倦怠。

就在元旦之前，微软在适用于Windows 10和 11、Windows Server 和 Linux 系统的 Microsoft 365 Defender 门户中推出了一个新的 Log4j 仪表板，用于威胁和漏洞管理。该系统旨在帮助客户查找和修复受 Log4j 漏洞影响的文件、软件和设备。CISA 和 CrowdStrike还在圣诞节前发布了 Log4j 扫描器。

如何确保公司安全

• Log4j 零日漏洞：您需要知道的以及如何保护自己
• 安全警告：Log4j Java 库中的新零日漏洞已被利用
• Log4j 缺陷可能是“未来几年”工业网络的一个问题

CISA官员认为，数以亿计的设备受到 Log4j 的影响。与此同时，思科和Vmware等主要技术供应商继续为受影响的产品发布补丁。

Log4Shell 漏洞现在包括原始 CVE-2021-44228 和四个相关缺陷，其中最新的是CVE-2021-44832。然而，这只是在 12 月 28 日的 Log4j 版本 2.17.1 更新中解决的中等严重性问题。Apache 软件基金会在其公告中详细介绍了每个 Log4j 漏洞，涵盖CVE-2021-44228、CVE-2021-45105和CVE-2021-45046。