腾讯服务器被攻击 微软被曝高危漏洞“永恒之黑”,或波及全球10万服务器
标题图来源@ unslash
钛媒新闻| 3月13日消息:北京时间3月12日晚,微软发布安全公告,披露了一个最新的SMB远程代码执行漏洞,海外安全机构针对该漏洞给出了多个代码,如SMBGhost、永恒黑暗等。
钛媒从腾讯安全部门了解到,之所以被命名为“永恒之黑”,是因为攻击者可以利用此漏洞实现未经许可的远程代码执行,而一旦被成功利用,其危害不亚于永恒之蓝。同时,SMB远程代码执行漏洞非常类似于“永恒蓝”系列漏洞,利用Windows SMB漏洞远程攻击来获取系统最高权限。
永恒蓝是指2017年4月14日晚,黑客组织影子经纪人发布了大量网络攻击工具,其中包括“永恒蓝”工具。“永恒蓝”可以利用Windows系统的SMB漏洞获得系统最高权限。
三年前,2017年5月,WannaCry ransomware突然大规模爆发。在5个小时内,包括英国、俄罗斯、欧洲、中国在内的许多大学内网、大型企业内网、政府机构专网,都遭到了解密和恢复文件的勒索和高额赎金,给重要数据造成了严重损失。这背后的原因是“永恒之蓝”的漏洞被犯罪分子利用了,
但是,如果与“永恒之蓝”系列漏洞十分相似的“永恒之黑”得不到有效控制,就有可能使“WannaCry”事件重演。
根据腾讯安全网络资产风险检测系统提供的数据,目前全球约有10万个具有“永恒黑”漏洞的SMB服务,直接暴露在公众网络中,有可能成为漏洞攻击的第一目标。
SMB协议作为局域网中的文件共享传输协议,经常被用作共享文件安全传输的研究平台。由于压缩报文中的数据在SMB 3.1.1协议中处理时没有进行安全检查,直接使用会导致内存损坏漏洞,攻击者可以利用该漏洞远程执行任意代码,只要目标系统通电在线,就有可能被黑客攻击入侵。
已知Windows 10 1903以后的所有终端节点,如Windows Home Edition、专业版、企业版、教育版、Windows 10 1903 (19H1)、Windows 10 1909、Windows Server 19H1都是潜在目标,Windows 7不受影响。
除了直接攻击中小型企业服务器并导致远程代码执行之外,“永久黑”漏洞的高风险还在于对中小型企业客户端的攻击。攻击者可以通过构建“特殊”网页、压缩包、共享目录、OFFICE文档等方式将其发送给目标。,一旦被攻击者打开,就会瞬间触发漏洞被攻击。
但腾讯安全专家也告诉钛媒,只要及时修复漏洞,漏洞风险是可以控制的。
钛媒11日获悉,腾讯安全已检测到来自海外厂商的漏洞通知,但此时微软官方尚未描述该漏洞。于是,腾讯安全推出了应急响应。基于威胁情报数据库和智能分析系统,分析了漏洞的范围及其利用方法,并做出实时安全态势感知,为企业用户提供主动安全响应服务。
腾讯安全终端安全管理系统拦截漏洞攻击
腾讯安全专家建议政府和企业用户及时更新Windows完成补丁安装,防止可能出现的入侵风险。
对于个人用户,漏洞扫描和修复功能可用于安装补丁。对于没有管家的用户,腾讯安全还提供了单独的SMB远程代码漏洞修复工具,保护用户的安全。用户可以从这个地址下载并使用它,或者尝试运行Windows更新和修复补丁,或者手动修改注册表以防止黑客的远程攻击。
但腾讯安全专家也提醒用户,如果攻击者利用漏洞构建网页、文档、共享文件进行投递,封锁445端口、修改注册表都无法解决,只能通过安装补丁来修复。