題圖來(lái)源@unsplash
鈦媒體快訊 | 3月13日消息:北京時(shí)間3月12日晚,微軟發(fā)布安全公告披露了一個(gè)最新的SMB遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-0796),海外安全機(jī)構(gòu)為該漏洞起了多個(gè)代號(hào),如SMBGhost、EternalDarkness(“永恒之黑”)。
鈦媒體從騰訊安全處獲悉,起名“永恒之黑”的原因在于,攻擊者利用該漏洞無(wú)須權(quán)限即可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,一旦被成功利用,其危害不亞于永恒之藍(lán)。同時(shí),SMB遠(yuǎn)程代碼執(zhí)行漏洞與“永恒之藍(lán)”系列漏洞極為相似,都是利用Windows SMB漏洞遠(yuǎn)程攻擊獲取系統(tǒng)最高權(quán)限。
永恒之藍(lán)是指2017年4月14日晚,黑客團(tuán)體Shadow Brokers(影子經(jīng)紀(jì)人)公布一大批網(wǎng)絡(luò)攻擊工具,其中包含“永恒之藍(lán)”工具,“永恒之藍(lán)”利用Windows系統(tǒng)的SMB漏洞可以獲取系統(tǒng)最高權(quán)限。
3年前,2017年5月WannaCry勒索病毒突然間大規(guī)模爆發(fā),五個(gè)小時(shí)內(nèi),包括英國(guó)、俄羅斯、整個(gè)歐洲以及中國(guó)國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專(zhuān)網(wǎng)中招,被勒索支付高額贖金才能解密恢復(fù)文件,對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。其背后原因正是由于“永恒之藍(lán)”漏洞被不法分子利用,
而此次與“永恒之藍(lán)”系列漏洞極為相似的“永恒之黑”,如果不能得到有效控制,或會(huì)讓“WannaCry”事件重演。
根據(jù)騰訊安全網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)檢測(cè)系統(tǒng)提供的數(shù)據(jù),目前全球范圍可能存在“永恒之黑”漏洞的SMB服務(wù)總量約10萬(wàn)臺(tái),直接暴露在公網(wǎng),可能成為漏洞攻擊的首輪目標(biāo)。
SMB(Server Message Block)協(xié)議作為一種局域網(wǎng)文件共享傳輸協(xié)議,常被用來(lái)作為共享文件安全傳輸研究的平臺(tái)。由于SMB 3.1.1協(xié)議中處理壓縮消息時(shí),對(duì)其中數(shù)據(jù)沒(méi)有經(jīng)過(guò)安全檢查,直接使用會(huì)引發(fā)內(nèi)存破壞漏洞,可能被攻擊者利用遠(yuǎn)程執(zhí)行任意代碼,受黑客攻擊的目標(biāo)系統(tǒng)只要開(kāi)機(jī)在線即可能被入侵。
據(jù)了解,凡政府機(jī)構(gòu)、企事業(yè)單位網(wǎng)絡(luò)中采用Windows 10 1903之后的所有終端節(jié)點(diǎn),如Windows家用版、專(zhuān)業(yè)版、企業(yè)版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均為潛在攻擊目標(biāo),Windows 7不受影響。
除了直接攻擊SMB服務(wù)端造成遠(yuǎn)程代碼執(zhí)行(RCE)外,“永恒之黑”漏洞高危之處在于對(duì)SMB客戶端的攻擊,攻擊者可以通過(guò)構(gòu)造一個(gè)“特制”的網(wǎng)頁(yè)、壓縮包、共享目錄、OFFICE文檔等,向攻擊目標(biāo)發(fā)送,一旦被攻擊者打開(kāi)則瞬間觸發(fā)漏洞受到攻擊。
不過(guò),騰訊安全專(zhuān)家也對(duì)鈦媒體說(shuō)道,只要及時(shí)修復(fù)漏洞,漏洞風(fēng)險(xiǎn)是可控的。
鈦媒體了解到,騰訊安全在11日就已經(jīng)檢測(cè)海外廠家關(guān)于該漏洞的通告,但此時(shí),微軟官方還未對(duì)該漏洞進(jìn)行描述。于是,騰訊安全啟動(dòng)應(yīng)急響應(yīng),基于威脅情報(bào)數(shù)據(jù)庫(kù)及智能化分析系統(tǒng),已經(jīng)對(duì)該漏洞的影響范圍、利用手法進(jìn)行分析,并實(shí)時(shí)進(jìn)行安全態(tài)勢(shì)感知,為企業(yè)用戶提供主動(dòng)的安全響應(yīng)服務(wù)。
騰訊安全終端安全管理系統(tǒng)攔截漏洞攻擊
騰訊安全專(zhuān)家建議政企用戶及時(shí)更新Windows完成補(bǔ)丁安裝,防范可能存在的入侵風(fēng)險(xiǎn)。
同時(shí),騰訊安全目前已啟動(dòng)應(yīng)急響應(yīng)方案,率先推出了SMB遠(yuǎn)程代碼執(zhí)行漏洞掃描工具。政企用戶只需登錄網(wǎng)址下載并填寫(xiě)《獲取SMB遠(yuǎn)程代碼執(zhí)行漏洞掃描工具申請(qǐng)書(shū)》,發(fā)送至郵箱es@tencent.com獲取授權(quán)后,即可使用該工具遠(yuǎn)程檢測(cè)全網(wǎng)終端安全漏洞。
對(duì)于個(gè)人用戶,可以采用漏洞掃描修復(fù)功能安裝補(bǔ)丁,對(duì)于未安裝管家的用戶,騰訊安全還單獨(dú)提供SMB遠(yuǎn)程代碼漏洞修復(fù)工具,守護(hù)用戶安全,用戶可通過(guò)此地址下載使用,也可嘗試運(yùn)行Windows 更新修復(fù)補(bǔ)丁,或通過(guò)手動(dòng)修改注冊(cè)表防止被黑客遠(yuǎn)程攻擊。
但騰訊安全專(zhuān)家也提醒用戶,攻擊者如果利用漏洞構(gòu)造網(wǎng)頁(yè)、文檔、共享文件投遞,封堵445端口和修改注冊(cè)表都不能解決,只能通過(guò)安裝補(bǔ)丁來(lái)修復(fù)。(本文你首發(fā)鈦媒體,作者 | 秦聰慧)