近日,微軟發布一例遠程執行代碼漏洞(CVE-2019-1367)漏洞修復補丁,攻擊者可利用網頁掛馬和郵件進行攻擊,得手后獲取用戶權限,控制大量系統,造成嚴重影響。騰訊安全團隊自該漏洞安全公告發布之后,第一時間發布預警,迅速升級騰訊電腦管家及騰訊御點漏洞庫,并率先推出漏洞檢測和修復工具,保障用戶免受漏洞威脅。
在騰訊安全捕獲的最新攻擊樣本中,不法黑客通過發送帶有偽裝性的電子郵件,吸引用戶點擊,一旦用戶不慎打開惡意文檔,電腦就會被黑客遠程控制。用戶電腦安裝的較多軟件會內置網頁資源,若這些組件被黑客攻擊植入漏洞攻擊代碼,當用戶電腦開機時,無須任何操作就可能被安裝病毒木馬。安全研究人員判斷該漏洞的危害等級為“嚴重”。
值得一提的是,該漏洞主要影響IE 9、IE10 、IE11版本,Windows專業版、Windows家庭版、Windows Server系統都會受此漏洞影響,使用這些操作系統的用戶,往往是政府機構、科研機構及大型企業等。
目前,已發現韓國專業APT組織Darkhotel曾利用CVE-2019-1367漏洞進行野外攻擊實例。通過對攻擊樣本進行分析,騰訊安全技術專家認為,該漏洞的相關代碼已通過網絡擴散,被黑灰產業利用的可能性正在增加。不法黑客可利用該漏洞發送網絡釣魚攻擊,還能通過郵件分發勒索軟件和其他惡意內容。
面對復雜的網絡安全環境,主動修復漏洞非常重要。目前,騰訊安全已連出多個“大招”,
率先推出漏洞檢測和修復工具,用實際行動守衛用戶網絡安全。
(圖:騰訊安全推出漏洞修復工具)
漏洞修復工具下載地址:
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/IERmtVulFixv1.exe
(圖:騰訊電腦管家、騰訊御點可檢測并修復該漏洞)
此外,個人用戶可使用Windows Update或啟動騰訊電腦管家、騰訊御點終端安全管理系統,掃描并修復該漏洞。同時,建議企業用戶盡快部署御界高級威脅檢測系統,有效保護企業的網絡信息安全。
來源:經濟日報-中國經濟網
北京時間3月12日晚,微軟發布安全公告披露了一個最新的SMB遠程代碼執行漏洞(CVE-2020-0796),攻擊者利用該漏洞無須權限即可實現遠程代碼執行,一旦被成功利用,其危害不亞于永恒之藍,全球10萬臺服務器或成首輪攻擊目標。
SMB(Server Message Block)協議作為一種局域網文件共享傳輸協議,常被用來作為共享文件安全傳輸研究的平臺。由于SMB 3.1.1協議中處理壓縮消息時,對其中數據沒有經過安全檢查,直接使用會引發內存破壞漏洞,可能被攻擊者利用遠程執行任意代碼,受黑客攻擊的目標系統只要開機在線即可能被入侵。據了解,凡政府機構、企事業單位網絡中采用Windows 10 1903之后的所有終端節點,如Windows家用版、專業版、企業版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均為潛在攻擊目標,Windows 7不受影響。
根據騰訊安全網絡資產風險檢測系統提供的數據,目前全球范圍可能存在漏洞的SMB服務總量約10萬臺,直接暴露在公網,可能成為漏洞攻擊的首輪目標。海外安全機構為這個漏洞起了多個代號,如SMBGhost、EternalDarkness(“永恒之黑”),可見其危害之大。
騰訊安全專家介紹,SMB遠程代碼執行漏洞與“永恒之藍”系列漏洞極為相似,都是利用Windows SMB漏洞遠程攻擊獲取系統最高權限,黑客一旦潛入,可利用針對性的漏洞攻擊工具在內網擴散,綜合風險不亞于永恒之藍,政企用戶應高度重視、謹慎防護。
除了直接攻擊SMB服務端造成遠程代碼執行(RCE)外,“永恒之黑”漏洞的亮點在于對SMB客戶端的攻擊,攻擊者可以通過構造一個“特制”的網頁、壓縮包、共享目錄、OFFICE文檔等,向攻擊目標發送,一旦被攻擊者打開則瞬間觸發漏洞受到攻擊。
針對該漏洞,騰訊安全已在第一時間啟動應急響應,并為企業用戶提供全套解決方案。在“永恒之黑”意外被海外安全廠商披露后,騰訊安全威脅情報中心基于威脅情報數據庫及智能化分析系統,第一時間對該漏洞的影響范圍、利用手法進行分析,并實時進行安全態勢感知,為企業用戶提供主動的安全響應服務。
騰訊安全專家建議政企用戶及時更新Windows完成補丁安裝,防范可能存在的入侵風險。同時,騰訊安全目前已啟動應急響應方案,率先推出了SMB遠程代碼執行漏洞掃描工具。政企用戶只需登錄網址(https://pc1.gtimg.com/softmgr/files/20200796.docx)下載并填寫《獲取SMB遠程代碼執行漏洞掃描工具申請書》,發送至郵箱es@tencent.com獲取授權后,即可使用該工具遠程檢測全網終端安全漏洞。
騰訊安全終端安全管理系統也已實現升級,企業網管可采用全網漏洞掃描修復功能,全網統一掃描、安裝KB4551762補丁,攔截病毒木馬等利用該漏洞的攻擊。
騰訊安全終端安全管理系統攔截漏洞攻擊
此外,騰訊安全網絡資產風險檢測系統、騰訊安全高級威脅檢測系統可全面檢測企業網絡資產是否受安全漏洞影響,幫助及時感知企業網絡的各種入侵滲透攻擊風險,防患于未然。
對于個人用戶,騰訊安全專家建議采用騰訊電腦管家的漏洞掃描修復功能安裝補丁,對于未安裝管家的用戶,騰訊安全還單獨提供SMB遠程代碼漏洞修復工具,守護用戶安全,用戶可通過此地址(http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe)下載使用,也可嘗試運行Windows 更新修復補丁,或通過手動修改注冊表防止被黑客遠程攻擊。但騰訊安全專家也提醒用戶,攻擊者如果利用漏洞構造網頁、文檔、共享文件投遞,封堵445端口和修改注冊表都不能解決,只能通過安裝補丁來修復。針對該漏洞,騰訊安全將持續保持關注,守護廣大企業及個人用戶安全。