Windows含有一个未被修补的SMB蠕虫漏洞
文/陈晓莉 | 2020-03-12发表
微软在本周二(3/10)的Patch Tuesday修补了115个安全漏洞,遗漏了一个原本要修补、
却未修补的Server Message Block(SMB)漏洞,成功的开采将允许远端骇客在SMB服务器
或客户端执行任意程式,由于它的严重性可能相当于EternalBlue攻击程式所利用的
CVE-2017-0145,而引起外界关注。
微软通常会在Patch Tuesday之前就与资安业者分享当月的修补资讯,以让资安业者可在
Patch Tuesday当天同步提出修补建议,因此,资安业者在事前就得知了此一编号为
CVE-2020-0796的新SMB漏洞,不过,微软周二并未修补该漏洞,而仅祭出该漏洞的安全通
报。
根据微软的说明,当Microsoft Server Message Block 3.1.1(SMBv3)协定处理特定的
请求时,就能触发一个允许骇客执行任意程式的安全漏洞。若要开采位于SMB服务器的漏
洞,骇客必须传送一个特制的封包到服务器上,若要开采SMB客户端漏洞,骇客则需要配
置一个恶意的SMB服务器并诱导受害者连结它。
此一漏洞波及了Windows 10 1903/1909,以及Windows Server 1903/1909。
由于此次微软并未修补CVE-2020-0796,而使得资安业者临时将写好的CVE-2020-0796内容
撤下,但已被Bing搜寻引擎存盘。例如思科(Cisco)旗下的威胁情报组织Talos就说,该
漏洞一旦被开采,便有可能带来蠕虫式的攻击,代表它能很快地感染其它受害者。
碰巧看到Talos最初刊登文章的资安专家们,便建议Windows用户应该要尽快修补
CVE-2020-0796,指出它可能带来与CVE-2017-0145同样的灾难,像是EternalBlue攻击程
式,以及基于EternalBlue的WannaCry与NotPetya攻击等。
尽管微软没能释出CVE-2020-0796的修补程式,但微软提出了暂时解决方案,只要关闭
SMBv3的压缩功能,就能防止未经授权的骇客开采位于SMB服务器上的漏洞。至于在SMB客
户端的防范措施,则是应避免SMB流量,借由横向连结进入或离开网络。
不过,已有资安专家呼吁微软应尽快修补该漏洞,不要等到下个月才修补。
https://www.ithome.com.tw/news/136307
如果跟之前WannaCry的手法一样的话,电脑是透过Router连出去危害应该会降低很多吧