来源:经济日报-中国经济网
北京时间3月12日晚,微软发布安全公告,披露了一个最新的SMB远程代码执行漏洞(CVE-2020-0796)。攻击者可以利用此漏洞实现未经许可的远程代码执行。一旦被成功利用,其危害不亚于千古蓝,全球10万台服务器可能成为第一攻击目标。
SMB(Server Message Block)协议作为局域网文件共享传输协议,常被用作研究共享文件安全传输的平台。SMB 3.1.1协议在处理压缩报文时,其中的数据不经过安全检查,直接使用会导致内存损坏漏洞,攻击者可以利用这些漏洞远程执行任意代码,只要打开联机,被黑客攻击的目标系统就可能被入侵。据了解,政府机关、企事业单位网络中采用Windows 10 1903之后的所有终端节点,如Windows Home Edition、专业版、企业版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、Windows Server 19H1都是潜在目标,Windows 7不会受到影响。
根据腾讯安全网络资产风险检测系统提供的数据,目前全球范围内可能存在漏洞的SMB服务约有10万个,直接暴露在公共网络中,有可能成为第一轮漏洞攻击的目标。海外安全机构对这个漏洞给出了很多代码,如SMBGhost、永恒黑暗等,可见其危害之大。
据腾讯安全专家介绍,SMB远程代码执行漏洞与“永恒蓝”系列漏洞非常相似,都是利用Windows SMB漏洞进行远程攻击,获取系统最高权限。黑客一旦渗透,就可以利用针对性的漏洞攻击工具在内网传播,综合风险不亚于永恒蓝。政府和企业用户应该高度重视,谨慎保护。
除了对SMB服务器的直接攻击导致远程代码执行(RCE)之外,“永恒的黑色”漏洞的亮点在于对SMB客户端的攻击。攻击者可以通过构建“特制”网页、压缩包、共享目录、OFFICE文档等方式将其发送给目标。一旦被攻击者打开,该漏洞将被立即触发攻击。
针对这一漏洞,腾讯安全第一时间启动了应急响应,为企业用户提供了一整套解决方案。在“永恒黑”事故被海外安全厂商披露后,腾讯安全威胁情报中心基于威胁情报数据库和智能分析系统,第一时间分析漏洞的影响范围和利用方式,实时实现安全态势感知,为企业用户提供主动安全应对服务。
腾讯安全专家建议政府和企业用户及时更新Windows完成补丁安装,防范可能的入侵风险。与此同时,腾讯安全已启动应急预案,率先推出SMB远程代码执行漏洞扫描工具。政企用户只需登录网站(https://pc1.gtimg.com/softmgr/files/20200796.docx)下载并填写《获取SMB远程代码执行漏洞扫描工具申请书》,发送至邮箱es@tencent.com进行授权,即可使用该工具远程检测全网终端的安全漏洞。
腾讯的安全终端安全管理系统也进行了升级,企业网管可以使用全网漏洞扫描修复功能,在全网统一扫描安装KB4551762补丁,拦截病毒木马等利用此漏洞的攻击。
腾讯安全终端安全管理系统拦截漏洞攻击。
此外,腾讯安全网络资产风险检测系统和腾讯安全高级威胁检测系统可以全面检测企业网络资产是否受到安全漏洞的影响,有助于及时感知企业网络的各种入侵和渗透攻击风险,防患于未然。
对于个人用户,腾讯安全专家建议使用腾讯电脑管理器的漏洞扫描修复功能安装补丁。对于没有安装管理器的用户,腾讯安全还单独提供SMB远程代码漏洞修复工具,保护用户安全。用户可以从该地址下载使用(http://dlid 6 . QQ.com/invc/QQ patch/QuickFix _ SMB 0796 . exe),尝试运行Windows update并修复补丁,或手动修改注册表,防止黑客远程攻击。不过腾讯安全专家也提醒用户,如果攻击者利用漏洞构建网页、文档、共享文件,封锁445端口、修改注册表都无法解决,只能通过安装补丁来修复。针对这一漏洞,腾讯安全将继续关注保护企业和个人用户的安全。