微軟在本周二(3/10)的Patch Tuesday修補了115個安全漏洞,遺漏了一個原本要修補、卻未修補的Server Message Block(SMB)漏洞,成功的開採將允許遠端駭客在SMB伺服器或客戶端執行任意程式,由於它的嚴重性可能相當於EternalBlue攻擊程式所利用的CVE-2017-0145,而引起外界關注。

微軟通常會在Patch Tuesday之前就與資安業者分享當月的修補資訊,以讓資安業者可在Patch Tuesday當天同步提出修補建議,因此,資安業者在事前就得知了此一編號為CVE-2020-0796的新SMB漏洞,不過,微軟周二並未修補該漏洞,而僅祭出該漏洞的安全通報

根據微軟的說明,當Microsoft Server Message Block 3.1.1(SMBv3)協定處理特定的請求時,就能觸發一個允許駭客執行任意程式的安全漏洞。若要開採位於SMB伺服器的漏洞,駭客必須傳送一個特製的封包到伺服器上,若要開採SMB客戶端漏洞,駭客則需要配置一個惡意的SMB伺服器並誘導受害者連結它。

此一漏洞波及了Windows 10 1903/1909,以及Windows Server 1903/1909。

由於此次微軟並未修補CVE-2020-0796,而使得資安業者臨時將寫好的CVE-2020-0796內容撤下,但已被Bing搜尋引擎存檔。例如思科(Cisco)旗下的威脅情報組織Talos就說,該漏洞一旦被開採,便有可能帶來蠕蟲式的攻擊,代表它能很快地感染其它受害者。

碰巧看到Talos最初刊登文章的資安專家們,便建議Windows用戶應該要儘快修補CVE-2020-0796,指出它可能帶來與CVE-2017-0145同樣的災難,像是EternalBlue攻擊程式,以及基於EternalBlue的WannaCry與NotPetya攻擊等。

儘管微軟沒能釋出CVE-2020-0796的修補程式,但微軟提出了暫時解決方案,只要關閉SMBv3的壓縮功能,就能防止未經授權的駭客開採位於SMB伺服器上的漏洞。至於在SMB客戶端的防範措施,則是應避免SMB流量,藉由橫向連結進入或離開網路。

不過,已有資安專家呼籲微軟應儘快修補該漏洞,不要等到下個月才修補。


Advertisement

更多 iThome相關內容