微软在本周二(3/10)的Patch Tuesday修补了115个安全漏洞,遗漏了一个原本要修补、却未修补的Server Message Block(SMB)漏洞,成功的开采将允许远程黑客在SMB服务器或客户端执行任意程序,由于它的严重性可能相当于EternalBlue攻击程序所利用的CVE-2017-0145,而引起外界关注。
微软通常会在Patch Tuesday之前就与安全企业分享当月的修补信息,以让安全企业可在Patch Tuesday当天同步提出修补建议,因此,安全企业在事前就得知了该编号为CVE-2020-0796的新SMB漏洞,不过,微软周二并未修补该漏洞,而仅祭出该漏洞的安全通报。
根据微软的说明,当Microsoft Server Message Block 3.1.1(SMBv3)协议处理特定的请求时,就能触发一个允许黑客执行任意程序的安全漏洞。若要开采位于SMB服务器的漏洞,黑客必须发送一个特定的封包到服务器上,若要开采SMB客户端漏洞,黑客则需要配置一个恶意的SMB服务器并诱导受害者连接它。
该漏洞波及了Windows 10 1903/1909,以及Windows Server 1903/1909。
由于此次微软并未修补CVE-2020-0796,而使得安全企业临时将写好的CVE-2020-0796内容撤下,但已被Bing搜索引擎保存。例如思科(Cisco)旗下的威胁情报组织Talos就说,该漏洞一旦被开采,便有可能带来蠕虫式的攻击,代表它能很快地感染其它受害者。
碰巧看到Talos最初刊登文章的安全专家们,便建议Windows用户应该要尽快修补CVE-2020-0796,指出它可能带来与CVE-2017-0145同样的灾难,像是EternalBlue攻击程序,以及基于EternalBlue的WannaCry与NotPetya攻击等。
尽管微软没能发布CVE-2020-0796的修补程序,但微软提出了暂时解决方案,只要关闭SMBv3的压缩功能,就能防止未经授权的黑客开采位于SMB服务器上的漏洞。至于在SMB客户端的防范措施,则是应避免SMB流量,借由横向连接进入或离开网络。
不过,已有安全专家呼吁微软应尽快修补该漏洞,不要等到下个月才修补。