微软提供紧急补丁以修复可感染的Windows 10漏洞iCrowdNewswire

  • 4分钟阅读
  • 2020年3月17日
大拇指后

微软周四发布了计划外的重要安全漏洞修复程序,使攻击者可以远程执行可以从易受攻击的机器传播到易受攻击的机器的恶意代码,而无需用户进行任何交互。

Microsoft实施的服务器消息块协议的版本3中的漏洞仅在用于客户端和服务器的32位和64位Windows 10版本1903和1909中存在。尽管很难以可靠的方式利用此漏洞,但是Microsoft和外部研究人员认为它很关键,因为它使大型网络遭受“可蠕虫”攻击,在这种情况下,一台计算机的入侵会引发连锁反应,从而导致所有其他Windows机器很快被感染。这就是2017年与WannaCry和NotPetya一起使用的情况。

粗略地翻译后,这些细节意味着具有良好漏洞利用的攻击者可能能够读取纯文本密码或其他对数据敏感的数据,并且还可以获得可以用来控制易受攻击机器的命令外壳。由国家安全局开发并后来从其窃取的较早的SMB漏洞EternalBlue也获得了读写功能,可以用恶意功能替换入站SMB功能中的入站功能。这就使攻击者可以在下次有漏洞的名为SMB功能的计算机上执行恶意代码。

方案1:攻击者针对共享文件的计算机。如果用户或管理员已将默认设置更改为打开端口445或禁用了Windows防火墙,或者该计算机属于Windows域,则该计算机将以远程攻击形式开放,使攻击者可以控制。

方案2:攻击者诱使用户连接到恶意服务器。攻击者可能会使用包含链接的垃圾邮件,这些链接被单击后会导致易受攻击的计算机加入攻击者的恶意网络。这样,攻击者将完全控制计算机。一种变体:已经有限地访问网络的攻击者欺骗了组织内部的受信任设备。然后,使用SMBv3连接到该欺骗计算机的计算机就会受到威胁。

当将两种变体组合在一起时,这种类型的攻击对于获得对目标网络的初始访问权限,然后转向更特权或更敏感的计算机很有用。从攻击者的角度来看,缺点是这些类型的攻击需要目标用户的社会工程学。

方案3:攻击者通过其他方式只能访问易受攻击的计算机,并利用SMBv3漏洞运行具有与目标用户相同的系统权限的恶意代码。从那里,攻击者可能能够进一步将特权提升到SYSTEM的特权。 Sophos在下面的视频中演示了第三种攻击场景:

Sophos和其他地方的研究人员强调,微软为Windows 10添加的强大安全防御措施使得开发可靠的利用程序极为困难。这些防御措施很可能导致许多目标计算机崩溃,从而向用户或管理员提示正在进行的攻击企图。

这些缓解措施并不意味着SMBv3漏洞不太可能被恶意利用。对星期四补丁进行反向工程的能力,再加上成功利用此漏洞所带来的高风险后果,可能会促使高技能的攻击者发动攻击。

使用Window 10计算机的任何人,尤其是那些通过任何类型的网络共享打印机,文件或资源的计算机的人,都应尽快安装补丁。对于那些无法立即安装补丁的用户,不太有效的缓解措施是(1)禁用SMB压缩和(2)阻止通往外部Internet的端口445(无论如何,安全专家长期以来一直认为这是至关重要的)。另一个可能的缓解方法是在本地网络中阻止端口445,但是Sophos警告说,采取这种措施是有代价的。

#参考

微软提供紧急补丁来修复可感染的Windows 10漏洞– iCrowdNewswire

微软发布紧急补丁修复可感染Windows 10漏洞MARKTIVATE INTERNATIONAL的News.ThoughtPeople.com

微软发布了紧急补丁来修复Windows 10漏洞

微软发布紧急补丁修复可感染Windows 10漏洞|

微软发布紧急补丁修复可感染Windows 10漏洞|

r / autotldr-Microsoft提供了紧急补丁以修复可感染Windows 10的漏洞

微软发布紧急补丁修复可感染Windows 10漏洞科技镜