研究人员已经发布了针对Microsoft Windows漏洞的利用代码,如果未修补该漏洞,则有可能在没有用户交互的情况下在计算机之间传播。
所谓的可蠕虫安全漏洞是最严重的漏洞,因为对一台易受攻击的计算机的利用会引发连锁反应,并迅速蔓延到成千上万,数百万或数千万台其他易受攻击的计算机。2017年的WannaCry和NotPetya漏洞分别在全球造成数十亿和数百亿美元的损失,这要归功于CVE-2017-0144的成功,CVE-2017-0144是早期可感染Windows漏洞的跟踪数量。
破坏的关键还在于由安全局开发并后来从其窃取并最终在线发布的可靠代码。微软于2017年3月对漏洞进行了修补,距离第一笔漏洞利用还不到两个月。
周一,由Github用户使用句柄Chompie1337 发布了针对新的可感染Windows漏洞的概念验证漏洞利用代码。该漏洞利用程序不可靠,并且经常导致崩溃,从而显示BSOD,这是Windows在系统故障期间显示的“死亡蓝屏”的简写。无论如何,该代码仍然是一个蓝图,需要做更多的工作,才能用来远程破坏易受攻击的计算机,然后进行传播。
“这尚未在我的实验室环境之外进行过测试,” Github用户写道。“它写得很快,需要做一些工作才能更加可靠。有时你会蓝屏。除了自我教育以外,将其用于其他目的是一个非常糟糕的主意。您的计算机将爆炸。小狗会死。”
SMBGhost,这个新的Microsoft漏洞的名称,可能不太容易被远程攻击者利用,但是其潜在的可被蠕虫利用以及补丁修复速度缓慢,甚至是关键的安全漏洞,仍然引起了一些安全专业人员的关注。微软已经表示,恶意利用的可能性“更大”。
就像WannaCry和NotPetya利用的缺陷一样,它驻留在Windows消息服务器消息块的实现中,操作系统使用该服务在本地网络和Internet上共享文件,打印机和其他资源。与较旧的漏洞一样,只需将恶意制作的数据包发送到连接到Internet的SMB端口,就可以远程利用较新的漏洞。
进一步阅读
Windows有一个新的可蠕虫漏洞,没有补丁。
如果未进行修补,则漏洞跟踪为CVE-2020-0796,存在于Windows 10版本1903和1909和Windows Server版本1903和1909中。所有这些都是相对较新的OS版本,并且Microsoft已投入大量资源来加强其抵抗这些类型的攻击的能力。到目前为止,研究人员只能在本地利用该漏洞,这意味着一旦他们已经在网络中获得有限的访问权限。相比之下,事实证明,利用漏洞获取RCE(远程代码执行的简称)的能力更加难以捉摸。
Ricerca Security的研究人员说:“这可能是因为远程内核利用与本地利用非常不同,因为攻击者无法利用有用的OS功能,例如创建用户级进程,引用PEB [ Process Environment Block ]以及发出系统调用。” 在4月发表的详细帖子中写道。“伴随Windows 10中引入的缓解措施,此限制使RCE的实现更具挑战性。”
新发布的漏洞利用的结果是,它增加了攻击者开发可远程工作的蠕虫的机会。
落后,自我修补
该漏洞的报告已被披露,然后由安全公司Fortinet和Cisco安全组织Talos于3月10日(该月的定期更新周二)迅速发布。没有人解释过为什么会先发布缺陷细节然后将其撤消。两天后,Microsoft 发布了计划外的更新,以修补此漏洞。
微软官员周五在一份声明中写道:“我们建议客户尽快安装更新,因为公开披露的漏洞有可能被不良行为者利用。” “此漏洞的更新已于3月发布,已经安装此更新或启用自动更新的客户已受到保护。”
缓解攻击但实际上无法修复潜在漏洞的解决方法包括:
禁用SMB压缩
阻塞端口445
世界各地的WannaCry和NotPetya都了解到,Windows用户通常需要等待数月或更长时间才能安装重要的软件更新。有时,不采取行动是疏忽的结果,但通常是因为补丁破坏了网络内部的核心功能。在其他时候,这是因为操作员无权在安装补丁程序和更改不兼容组件或服务所需的时间内关闭系统。
独立研究员特洛伊·默施(Troy Mursch)说,他一直在对该漏洞进行“机会性大规模扫描”,这表明攻击者一直在寻找易受攻击的网络。随着可靠漏洞利用的可能性越来越大,现在将是落后者最终安装补丁的好时机。