回顧曾襲捲全球的WannaCry,透過 Windows 的 SMB 漏洞入侵電腦,造成許多使用者的檔案遭到加密。時至今年6月,美國國土安全部仍發出警告「駭客開始針對Windows 10 SMBGhost漏洞發動攻擊」,呼籲各界應盡速完成修補更新。同時近日微軟又爆另一個SMB漏洞SMBleed(CVE-2020-1206),專家呼籲各界應盡快做好準備,以防止大規模感染再次發生,並提出相關建議作法!
提到《WannaCry (想哭)》是一隻非常出名的勒索病毒,從2017年出現以來締造了許多令人記憶深刻的致災性資安事件,也是少數在台灣也廣為認識的一隻惡意程式。WannaCry的威脅傳染力之所以如此可怕,主要是利用微軟系統中的一種應用傳輸協定: SMB(Server Message Block),它是作為網路檔案分享的方式。最近,SMB再次被網路安全研究人員發現新的嚴重漏洞,需要呼籲各位盡快做好準備,以避免災難性的資安威脅來襲。
可蠕蟲化的SMBGhost攻擊
微軟公司在今年3月份的修補中再次公布新的SMB漏洞,此漏洞編號為CVE-2020-0796(別名SMBGhost,或稱”永恆之黑”),存在於SMBv3協定中並且允許駭客自遠端執行任意程式(RCE, Remote Code Exceution),可同時用來開採SMB伺服器端與SMB客戶端程式,受到波及的系統包括Windows 10 1903/1909以及Windows Server 1903/1909等平台,此漏洞為CVSSv3評分為最高10分的”嚴重(Critical)”風險等級,並且具「可蠕蟲化(wormable)」的特性,意即可以直接從一台電腦感染另一台電腦。微軟公司雖然在3月份的修補中已經提出修補,但時至6月,美國國土安全部仍發出警告「駭客開始針對Windows 10 SMBGhost漏洞發動攻擊」,呼籲各界應盡速完成修補更新。
微軟再爆SMB重大安全漏洞別名''SMBleed'' 不容輕忽
《SMBleed》為6月最新發現的另一個SMB漏洞,漏洞編號為CVE-2020-1206(別名SMBleed),同樣是利用SMBv3;截至發稿時此弱點尚未被提出風險等級與評分,但有鑑於可與上述的SMBGhost(CVE-2020-0796)互相結合使用來實施遠程代碼執行攻擊,因此其威脅風險程度不容輕忽,受到影響的系統為Windows 10版本1903和1909平台;微軟公司於6月最新公布的修補已經對此提出補丁,建議應提高注意!
聞風喪膽的WannaCry致災性等級資安事件回顧
有鑒於WannaCry的慘痛教訓,我們必須對於SMB此一漏洞型態的威脅提高注意,及早預防與避免風險;2017年3月,微軟公司已經提出MS17-010安全更新,主要針對已經發現存在於SMBv1的嚴重弱點進行修補,但在當時候被過於輕視,完全忽略先前發生於NSA(美國國家安全局)因為駭客組織「影子掮客(Shadow Brokers)」入侵所洩漏出的惡意程式工具庫事件,該批洩漏的惡意程式中一組名為以致於「永恆之藍(EternalBlue)」就是利用微軟SMBv1的數個漏洞,事後證明該組攻擊破壞力超過想像,最廣為人知的就是WannaCry。
當2017年5月13日WannaCry開始爆發感染,瞬間在不到一天之內便造成全世界數以萬計的電腦受到影響,台灣地區的政府、軍方、金融、高科技製造、醫療、學校、關鍵基礎(油、電)等各個產業領域延續至今都曾發生受駭案例。WannaCry加密勒索病毒的感染散播速度、數量、範圍、蟄伏的時間以及勒索手段,都創下資安史上未曾有過的紀錄。
注意!注意!再注意!請做好預防準備!
再次提醒,這次SMBGhost及SMBleed所針對的是”SMBv3”,雖然與之前WannaCry所利用的”SMBv1”是不同版本,但是我們必須對於SMB此一網路檔案分享的應用通訊被當作勒索病毒感染傳播管道必須提高警覺;有部分的IT管理者錯誤認為,先前已經完成MS17-010(KB4013389)的全面更新就是針對微軟SMB漏洞修補,或是在弱點掃描盤查作業上仍舊套用CVE-2017-0143至CVE-2017-0148等漏洞檢查方式,這些方式並無法正確套用於新公布的SMBGhost及SMBleed。
專家建議作法
更多SMBGhost及SMBleed參考資訊 :
國內外資安訊息
https://www.ithome.com.tw/news/138115
https://www.ithome.com.tw/news/136330
https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
微軟官方訊息
https://support.microsoft.com/en-us/help/4551762/windows-10-update-kb4551762
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1206
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005