專家提醒WannaCry勒索軟體捲土重來，微軟SMB再爆重大安全漏洞！請做好致災性預防準備！

回顧曾襲捲全球的WannaCry，透過 Windows 的 SMB 漏洞入侵電腦，造成許多使用者的檔案遭到加密。時至今年６月，美國國土安全部仍發出警告「駭客開始針對Windows 10 SMBGhost漏洞發動攻擊」，呼籲各界應盡速完成修補更新。同時近日微軟又爆另一個SMB漏洞SMBleed（CVE-2020-1206），專家呼籲各界應盡快做好準備，以防止大規模感染再次發生，並提出相關建議作法！

提到《WannaCry (想哭)》是一隻非常出名的勒索病毒，從2017年出現以來締造了許多令人記憶深刻的致災性資安事件，也是少數在台灣也廣為認識的一隻惡意程式。WannaCry的威脅傳染力之所以如此可怕，主要是利用微軟系統中的一種應用傳輸協定: SMB(Server Message Block)，它是作為網路檔案分享的方式。最近，SMB再次被網路安全研究人員發現新的嚴重漏洞，需要呼籲各位盡快做好準備，以避免災難性的資安威脅來襲。

可蠕蟲化的SMBGhost攻擊

微軟公司在今年3月份的修補中再次公布新的SMB漏洞，此漏洞編號為CVE-2020-0796（別名SMBGhost，或稱”永恆之黑”），存在於SMBv3協定中並且允許駭客自遠端執行任意程式(RCE, Remote Code Exceution)，可同時用來開採SMB伺服器端與SMB客戶端程式，受到波及的系統包括Windows 10 1903/1909以及Windows Server 1903/1909等平台，此漏洞為CVSSv3評分為最高10分的”嚴重(Critical)”風險等級，並且具「可蠕蟲化（wormable）」的特性，意即可以直接從一台電腦感染另一台電腦。微軟公司雖然在3月份的修補中已經提出修補，但時至6月，美國國土安全部仍發出警告「駭客開始針對Windows 10 SMBGhost漏洞發動攻擊」，呼籲各界應盡速完成修補更新。

微軟再爆SMB重大安全漏洞別名''SMBleed'' 不容輕忽

《SMBleed》為6月最新發現的另一個SMB漏洞，漏洞編號為CVE-2020-1206（別名SMBleed），同樣是利用SMBv3；截至發稿時此弱點尚未被提出風險等級與評分，但有鑑於可與上述的SMBGhost（CVE-2020-0796）互相結合使用來實施遠程代碼執行攻擊，因此其威脅風險程度不容輕忽，受到影響的系統為Windows 10版本1903和1909平台；微軟公司於6月最新公布的修補已經對此提出補丁，建議應提高注意！

聞風喪膽的WannaCry致災性等級資安事件回顧

有鑒於WannaCry的慘痛教訓，我們必須對於SMB此一漏洞型態的威脅提高注意，及早預防與避免風險；2017年3月，微軟公司已經提出MS17-010安全更新，主要針對已經發現存在於SMBv1的嚴重弱點進行修補，但在當時候被過於輕視，完全忽略先前發生於NSA(美國國家安全局)因為駭客組織「影子掮客（Shadow Brokers）」入侵所洩漏出的惡意程式工具庫事件，該批洩漏的惡意程式中一組名為以致於「永恆之藍（EternalBlue）」就是利用微軟SMBv1的數個漏洞，事後證明該組攻擊破壞力超過想像，最廣為人知的就是WannaCry。

當2017年5月13日WannaCry開始爆發感染，瞬間在不到一天之內便造成全世界數以萬計的電腦受到影響，台灣地區的政府、軍方、金融、高科技製造、醫療、學校、關鍵基礎(油、電)等各個產業領域延續至今都曾發生受駭案例。WannaCry加密勒索病毒的感染散播速度、數量、範圍、蟄伏的時間以及勒索手段，都創下資安史上未曾有過的紀錄。

注意！注意！再注意！請做好預防準備！

再次提醒，這次SMBGhost及SMBleed所針對的是”SMBv3”，雖然與之前WannaCry所利用的”SMBv1”是不同版本，但是我們必須對於SMB此一網路檔案分享的應用通訊被當作勒索病毒感染傳播管道必須提高警覺；有部分的IT管理者錯誤認為，先前已經完成MS17-010（KB4013389）的全面更新就是針對微軟SMB漏洞修補，或是在弱點掃描盤查作業上仍舊套用CVE-2017-0143至CVE-2017-0148等漏洞檢查方式，這些方式並無法正確套用於新公布的SMBGhost及SMBleed。

專家建議作法

• 外部防火牆措施：請務必確認對外連線的網路防火牆是否確實針對SMB通訊與傳輸埠(Port 445及Port139)阻擋及關閉連線，以防止試圖從其環境外部利用該漏洞的攻擊。
• 弱點掃描盤查：盡速透過弱點掃描工具(如Tenable Nessus、Nmap等)依序針對組織內的網路環境中重要伺服器、依般伺服器、電腦及筆電、甚至Windows嵌入系統裝置，針對SMB通訊服務進行盤查，並且針對SMBGhost相關情報（CVE-2020-0796及KB4551762）及CVE-2020-1206蒐集相關資訊。
• 安全修補更新：盡速尋求微軟公司於今年3月及6月公布的安全修補更新，並盡快完成評估更新的作業方式以及對於系統可能的衝擊影響。
• 內部存取監控：針對內部網路環境的傳播擴散必須注意，如果內網並未開放網路芳鄰的話，則應監測並關閉SMB通訊與Port 445及Port 139網路通訊。如果內網環境是允許網路芳鄰作為檔案分享，則以長遠考量應該施行網段區隔與安全存取管控，同樣應監測SMB及Port445/139通訊行為。
• 緩解措施：假如無法立即執行安全更新作業，則可依微軟公司所提供的緩解措施，參照ADV200005《Microsoft禁用SMBv3壓縮的指南》使用以下PowerShell（Admin）命令禁用SMBv3壓縮（無需重新啟動，不會阻止利用SMB客戶端）：Set-ItemProperty -Path“ HKLM： SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force 。
• 端點偵測與響應：評估導入端點防護EPP或MDR資安方案，透過新一代的端點保護機制能夠快速偵測(Detect)勒索軟體的感染，也能針對不幸遭受感染的系統主機所發生異常網路行為立即隔離阻斷，並通報資安管理人員，可以有效率的減免未來不同類型勒索病毒與惡意程式。

更多SMBGhost及SMBleed參考資訊　:

國內外資安訊息

https://www.ithome.com.tw/news/138115

https://www.ithome.com.tw/news/136330

https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html

https://zh-tw.tenable.com/blog/smbleed-cve-2020-1206-and-smblost-cve-2020-1301-vulnerabilities-affect-microsoft-smbv3-and

微軟官方訊息

https://support.microsoft.com/en-us/help/4551762/windows-10-update-kb4551762

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1206

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005