不要惊慌:可能仅在最新系统中出现可造灾的缺陷
Microsoft在周四(正常的补丁星期二发布后仅两天)发布了带外安全性更新,以修补远程代码执行(RCE)影响服务器消息块(SMB)。
在安全合作伙伴无意中披露了该缺陷的详细信息之后Wannacry蠕虫。
如果未解决,Microsoft SMB 3.1.1(SMBV3)中的漏洞(CVE-2020-0796)可以由远程攻击者利用,以在脆弱系统上种植恶意代码。
剥削将涉及将专门制作的压缩数据包发送到目标的SMBV3服务器。
缺陷源于“ Microsoft Server消息块3.1.1(SMBV3)协议如何处理某些请求”的错误。咨询来自Microsoft的解释。
街区的新缺陷
SMB是一种网络协议,用于共享对文件和打印机的访问。容易受到臭名昭著的WannaCry利用的Eternalblue(CVE-2017-0144)的相同协议勒索软件。
漏洞存在于新功能中,该功能已添加到Windows 10版本1903中,因此Windows的较旧版本不支持SMBV3.1.1压缩不受安全缺陷的影响。
Windows 10客户端和Windows Server,版本1903及以后都需要修补
初步扫描安全专家认为,只有4%的公共访问SMB端点是脆弱的。
服务器端的解决方法已为运行受影响的软件的组织发布,但无法快速推出补丁。这包括禁用SMBV3的压缩以及在外围防火墙上阻止TCP端口445。
意外披露
安全工具供应商Tenable的首席安全工程师Satnam Narang评论说:“该漏洞最初是在3月补丁星期二发布的一部分中意外披露的,这是在另一个安全供应商的博客中。
“在偶然披露后不久,就从博客文章中删除了引用。”
在撰写本文时,尚未公开发布CVE-2020-0796的概念证明。
Narang补充说,这种漏洞可能被证明是当前未知的。
Narang解释说:“最新的漏洞唤起了Eternalblue的记忆,最著名的是CVE-2017-0144,这是SMBV1中的远程代码执行漏洞,它被用作WannaCry Ransomware攻击的一部分。”
“这无疑是一个恰当的比较,因此研究人员将其称为Eternaldarkness。但是,目前几乎没有有关此新缺陷的信息,生产可行的利用所需的时间和精力尚不清楚。”
