微软紧急修补SMB蠕虫漏洞

微软在周四(3/12),完成了无法在3月Patch Tuesday准时提供的CVE-2020-0796漏洞修补,该漏洞存在于Microsoft Server Message Block 3.1.1(SMBv3)协议中,允许黑客自远程执行任意程序,且被英国安全企业Sophos视为本月微软最重要的安全漏洞。

微软原本计划要在Patch Tuesday同步修补CVE-2020-0796,只是当天却未见CVE-2020-0796,但事前收到微软通知的安全企业不小心外泄了CVE -2020-0796的信息,且微软也公布了与该漏洞有关的安全通报。

不过,微软在两天后紧急修补了CVE-2020-0796。该存在于SMBv3协议的漏洞,可同时用来开采SMB服务器端与SMB客户端程序,波及Windows 10 1903/1909,以及Windows Server 1903/1909等平台。

根据Sophos的说明,该漏洞涉及其中一个核心驱动程序的整数上溢与下溢,黑客可借由恶意封包来触发下溢,以自由读取核心,或是触发上溢来覆盖核心中的写入指标。

Sophos指出,黑客可能通过网络,来危害任何激活文件分享功能的Windows计算机,不管是个人计算机或是文件服务器;或是利用社交工程或中间人攻击以将Windows用户引跳转至恶意的SMB服务器;也可借此展开权限扩张攻击,取得系统的更高权限。

一般而言,Windows防火墙会封锁从SMB端口进入的公共网络流量,但如果防火墙被关闭了,SMB端口被打开了,或是该计算机位于Windows Domain中,那么可能就会暴露在安全风险中,因此,任何未修补且开放SMB端口的计算机,都有可能受到攻击,而且是类似WannaCry般的蠕虫式攻击。

这类的攻击通常锁定打开的445/tcp连接端口,但用户不能只通过关闭445/tcp来因应,因为不只是SMB,其它Windows Domain的重要组件,也需要使用445 /tcp。

总之,Sophos呼吁Windows用户应该要立即修补CVE-2020-0796。