浏览器漏洞利用减少，用户成为攻击新焦点

浏览器漏洞利用减少，用户成为攻击新焦点

对浏览器而言，直接利用漏洞的攻击方式正在过时——而诱使用户自行破坏系统安全的手段正成为主流。浏览器安全性的提升迫使攻击者调整策略，他们已经接受了这一挑战。

浏览器漏洞利用趋势下降

尽管浏览器漏洞持续困扰企业安全（例如微软在5月修补的Edge漏洞和谷歌一年前修复的三个Chrome漏洞），但专家表示直接攻击浏览器的情况正在减少。根据国家漏洞数据库数据，自2017年以来浏览器漏洞约占所有上报缺陷的2%，但攻击难度已显著增加。如今绝大多数浏览器攻击需要利用漏洞链（针对多个漏洞的一系列攻击），而非单个漏洞就能完全攻破浏览器。

云安全公司Netskope威胁实验室主管Ray Canzanese指出："我们早已远离漏洞利用工具的黄金时代。浏览器安全性大幅提升——强化了防护机制、改进了沙盒技术、完善了补丁流程。Adobe Flash Player也不再是众多漏洞利用工具的目标。因此总体而言，当前主要威胁并非漏洞利用。"

攻击策略转向终端用户

攻击者正将浏览器作为攻击链的初始入口点。根据网络安全公司eSentire威胁响应部门2025年1月的数据分析，2024年70%的攻击通过浏览器下载获取用户系统初始访问权（高于2023年的58%）。结合社会工程学和浏览器载体的攻击（如ClickFix）正在增加。

虽然网络钓鱼和恶意广告等传统攻击仍是威胁（特别是AI聊天机器人显著降低诱饵制作成本），但专家表示攻击者正转向滥用合法浏览器功能。浏览器扩展成为重要弱点——如果攻击者能诱使员工运行受污染的扩展、欺骗扩展开发者允许修改，或直接收购热门扩展项目，就能绕过浏览器安全机制。

浏览器攻击的目标与手法

Menlo Security网络安全战略高级经理Neko Papez指出，浏览器攻击主要优先窃取凭证以访问云服务或横向移动，最终载荷可能是勒索软件或其他恶意软件，旨在破坏运营并勒索赎金。

攻击者对网络安全公司Cyberhaven的攻击就是典型案例：假冒谷歌通知针对开发人员，诱使员工授权看似合法的应用。该攻击利用Chrome商店对OAuth框架的依赖，向受信任扩展上传恶意修改。

更先进的攻击也在涌现。浏览器安全公司SquareX创始人Vivek Ramachandran表示，他们发现可绕过安全Web网关的"最后一英里重组"攻击，以及使用浏览器加密下载文件的"浏览器原生勒索软件"——这种攻击"完全在浏览器内完成，无需本地文件或进程，能完全绕过现有反勒索软件和EDR解决方案"。

针对特定职定向攻击

Netskope的Canzanese指出，虽然大规模浏览器攻击仍针对消费者，但针对企业员工或特定组织的攻击虽然量少却至关重要。使用商业诱饵的邮件、针对商业信息的恶意广告和SEO投毒日益普遍。

SquareX的Ramachandran补充道，攻击者特别关注高管、财务部门和开发人员等特权用户："攻破一名员工不仅能获取其数据，还能访问与其共享的所有公司资源。"

远程办公的普及也助推了浏览器攻击增长。Menlo Security的Papez指出："员工在非安全家庭网络和个人设备上工作，给攻击者更多利用浏览器漏洞和用户行为的机会，增加了网络钓鱼、恶意软件和数据泄露的风险。"

云端防御的局限性

Papez表示，安全Web网关（SWG）和云访问安全代理（CASB）等云方案可过滤已知威胁，但可能漏过复杂浏览器攻击。EDR等客户端安全解决方案只能在攻击者获得内部访问后检测可疑活动。

最严格的远程浏览器隔离（RBI）方案则存在用户体验和扩展性挑战。企业需要"直接在浏览器中嵌入安全功能"的解决方案。

企业浏览器成为流行方案，但存在与RBI类似的扩展性问题。基于浏览器扩展的解决方案试图在保持安全性和遥测功能的同时，避免定制浏览器的部署开销。Ramachandran表示："扩展方案兼容所有浏览器和设备，正越来越受欢迎。"

持续演变的攻防对抗

企业需持续跟踪攻击者不断适应的战术。Canzanese观察到攻击者更关注非法授权（针对OAuth工作流和捕获多因素认证令牌的反向代理），而非简单虚假登录站点。转向ClickFix等需要用户完成攻击链的手法，要求防御方具备良好可见性。

"你强化一个环节，攻击者就会寻找下一个薄弱点，"Canzanese强调，"如果员工使用非托管设备，而企业唯一控制手段是企业浏览器，诱使受害者离开浏览器将非常有效——因为那时他们将处于安全控制更薄弱的环境。"