微軟被曝高危漏洞“永恒之黑” 或波及全球10萬服務(wù)器

2020-03-13 20:04:13

字體：大中小

供稿：網(wǎng)友

北京時(shí)間3月12日晚，微軟發(fā)布安全公告披露了一個(gè)最新的SMB遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-0796），海外安全機(jī)構(gòu)為該漏洞起了多個(gè)代號(hào)，如SMBGhost、EternalDarkness（“永恒之黑”）。

武林網(wǎng)從騰訊安全處獲悉，起名“永恒之黑”的原因在于，攻擊者利用該漏洞無須權(quán)限即可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，一旦被成功利用，其危害不亞于永恒之藍(lán)。同時(shí)，SMB遠(yuǎn)程代碼執(zhí)行漏洞與“永恒之藍(lán)”系列漏洞極為相似，都是利用Windows SMB漏洞遠(yuǎn)程攻擊獲取系統(tǒng)最高權(quán)限。

永恒之藍(lán)是指2017年4月14日晚，黑客團(tuán)體Shadow Brokers（影子經(jīng)紀(jì)人）公布一大批網(wǎng)絡(luò)攻擊工具，其中包含“永恒之藍(lán)”工具，“永恒之藍(lán)”利用Windows系統(tǒng)的SMB漏洞可以獲取系統(tǒng)最高權(quán)限。

3年前，2017年5月WannaCry勒索病毒突然間大規(guī)模爆發(fā)，五個(gè)小時(shí)內(nèi)，包括英國、俄羅斯、整個(gè)歐洲以及中國國內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。其背后原因正是由于“永恒之藍(lán)”漏洞被不法分子利用，

而此次與“永恒之藍(lán)”系列漏洞極為相似的“永恒之黑”，如果不能得到有效控制，或會(huì)讓“WannaCry”事件重演。

根據(jù)騰訊安全網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)檢測(cè)系統(tǒng)提供的數(shù)據(jù)，目前全球范圍可能存在“永恒之黑”漏洞的SMB服務(wù)總量約10萬臺(tái)，直接暴露在公網(wǎng)，可能成為漏洞攻擊的首輪目標(biāo)。

SMB（Server Message Block）協(xié)議作為一種局域網(wǎng)文件共享傳輸協(xié)議，常被用來作為共享文件安全傳輸研究的平臺(tái)。由于SMB 3.1.1協(xié)議中處理壓縮消息時(shí)，對(duì)其中數(shù)據(jù)沒有經(jīng)過安全檢查，直接使用會(huì)引發(fā)內(nèi)存破壞漏洞，可能被攻擊者利用遠(yuǎn)程執(zhí)行任意代碼，受黑客攻擊的目標(biāo)系統(tǒng)只要開機(jī)在線即可能被入侵。

據(jù)了解，凡政府機(jī)構(gòu)、企事業(yè)單位網(wǎng)絡(luò)中采用Windows 10 1903之后的所有終端節(jié)點(diǎn)，如Windows家用版、專業(yè)版、企業(yè)版、教育版，Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均為潛在攻擊目標(biāo)，Windows 7不受影響。

除了直接攻擊SMB服務(wù)端造成遠(yuǎn)程代碼執(zhí)行（RCE）外，“永恒之黑”漏洞高危之處在于對(duì)SMB客戶端的攻擊，攻擊者可以通過構(gòu)造一個(gè)“特制”的網(wǎng)頁、壓縮包、共享目錄、OFFICE文檔等，向攻擊目標(biāo)發(fā)送，一旦被攻擊者打開則瞬間觸發(fā)漏洞受到攻擊。

不過，騰訊安全專家也對(duì)武林網(wǎng)說道，只要及時(shí)修復(fù)漏洞，漏洞風(fēng)險(xiǎn)是可控的。

武林網(wǎng)了解到，騰訊安全在11日就已經(jīng)檢測(cè)海外廠家關(guān)于該漏洞的通告，但此時(shí)，微軟官方還未對(duì)該漏洞進(jìn)行描述。于是，騰訊安全啟動(dòng)應(yīng)急響應(yīng)，基于威脅情報(bào)數(shù)據(jù)庫及智能化分析系統(tǒng)，已經(jīng)對(duì)該漏洞的影響范圍、利用手法進(jìn)行分析，并實(shí)時(shí)進(jìn)行安全態(tài)勢(shì)感知，為企業(yè)用戶提供主動(dòng)的安全響應(yīng)服務(wù)。

騰訊安全終端安全管理系統(tǒng)攔截漏洞攻擊

騰訊安全專家建議政企用戶及時(shí)更新Windows完成補(bǔ)丁安裝，防范可能存在的入侵風(fēng)險(xiǎn)。

對(duì)于個(gè)人用戶，可以采用漏洞掃描修復(fù)功能安裝補(bǔ)丁，對(duì)于未安裝管家的用戶，騰訊安全還單獨(dú)提供SMB遠(yuǎn)程代碼漏洞修復(fù)工具，守護(hù)用戶安全，用戶可通過此地址下載使用，也可嘗試運(yùn)行Windows 更新修復(fù)補(bǔ)丁，或通過手動(dòng)修改注冊(cè)表防止被黑客遠(yuǎn)程攻擊。

但騰訊安全專家也提醒用戶，攻擊者如果利用漏洞構(gòu)造網(wǎng)頁、文檔、共享文件投遞，封堵445端口和修改注冊(cè)表都不能解決，只能通過安裝補(bǔ)丁來修復(fù)。

上一篇：安全研究人員：黑客可以用超聲波激活蘋果Siri語音助手

下一篇：全球十大IC設(shè)計(jì)公司最新排名