3月12日,微软发布了一个高危系统漏洞补丁——一旦中招,目标系统只要开机在线即可能被入侵,危害程度不亚于“永恒之蓝”。两天前,曾有安全厂商“不小心”披露过该漏洞,但很快删除。
该漏洞存在于一种局域网文件共享传输协议——SMB(Server Message Block)协议中。攻击者可以利用这一漏洞连接启用了SMB服务的远程系统,并以系统最高权限运行恶意代码,从而控制目标系统。
值得注意的是,2017年春夏导致WannaCry和NotPetya勒索软件在全球蔓延的,正是SMB协议。腾讯安全专家指出,此次的SMB远程代码执行漏洞与“永恒之蓝”系统漏洞极为相似。因此,该漏洞也被称为“永恒之黑”。
据介绍,“永恒之黑”也是利用SMB漏洞远程攻击获取系统最高权限,黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于“永恒之蓝”,政企用户应高度重视、谨慎防护。
除了直接攻击SMB服务端远程执行代码以外,“永恒之黑”还允许攻击者向目标系统发送“特制”网页、压缩包、共享目录、Office文档等,一旦目标系统打开,就会触发漏洞,受到攻击。
不过,“永恒之黑”只影响安装了最新版本SMBv3的系统。目前已知会受到影响的系统为Win10 v1903, Win10 v1909,以及Windows Server v1903和Windows Server v1909,Win7系统不受影响。
种种迹象表明,披露“永恒之黑”本不在微软的计划之中。
3月10日,两家网络安全厂商Cisco Talos和Fortinet“意外”披露了漏洞,但不涉及任何技术细节。
“该漏洞是易受攻击的软件在处理恶意压缩数据包时发生的错误而引起的”,Fortinet说,“未经身份验证的远程攻击者可以利用该漏洞在应用程序中执行任意代码。” Cisco Talos也发表了类似言论,随后删除。
此后,已经有多个安全研究员向媒体表示,他们“只花了五分钟”就在SMB驱动程序代码中找到了漏洞;有的还做了演示视频,展示如何利用该漏洞令易受攻击的系统崩溃。
根据腾讯安全网络资产风险检测系统提供的数据,目前全球范围可能存在漏洞的SMB服务总量约为10万台,可能成为漏洞攻击的首轮目标。
使用上述系统的用户应尽快安装补丁KB4551762。对于无法立即安装补丁的用户,可以参考微软在单独的安全公告中提供的详细建议。
编译、综合:南都记者蒋琳
编辑:尤一炜