新代码漏洞“永恒之黑”该如何警惕?

> 欢迎关注公众号“中科天齐”(id:woocoom),获取更多行业专业资讯!

新代码漏洞“永恒之黑”该如何警惕?

北京时间3月12日,针对最新披露的SMB远程代码执行漏洞(CVE-2020-0796),微软官方发布了针对Windows 10/Server禁用SMBv3(SMB 3.1.1版本)协议压缩的安全指南公告,旨在缓解该漏洞所造成的威胁。随即,腾讯安全网络资产风险监测系统给出了预测数据——目前全球范围可能存在漏洞的SMB服务总量约10万台,首当其冲成为黑客攻击的目标。

据悉,该漏洞为SMBv3协议(用于文件共享与打印服务)在处理调用请求时的一个远程代码执行漏洞,攻击者无须权限便可通过多种方式触发,获取目标主机完全控制权并执行。其利用方式与“永恒之蓝”有极其相似之处,若被蠕虫化利用可导致数据丢失、信息泄露、服务器瘫痪等情况,因此又被称为“永恒之黑”。除了直接攻击SMB服务端造成远程代码执行(RCE)外,“永恒之黑”漏洞的攻击者还可以通过构造一个“特制”的网页、压缩包、共享目录、OFFICE文档等,向攻击目标发送,一旦被攻击者打开则瞬间触发漏洞受到攻击。

据了解,凡政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点,如Windows家用版、专业版、企业版、教育版、Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标,Windows 7不受影响。

附:“永恒之黑”漏洞影响范围
Windows10 Version 1903 for 32-bit Systems
Windows10 Version 1903 for ARM64-based Systems
Windows10 Version 1903 for x64-based Systems
Windows10 Version 1909 for 32-bit Systems
Windows10 Version 1909 for ARM64-based Systems
Windows10 Version 1909 for x64-based Systems
WindowsServer, version 1903 (Server Core installation)
WindowsServer, version 1909 (Server Core installation)

措施与建议:

1、更新系统、完成补丁的安装:
操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。

2、不更新系统的临时应对方法:
运行regedit.exe,打开注册表编辑器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。

3、对SMB通信445端口进行封禁。

(本文整理自网络素材,如有侵权请及时联系告知。)

你可能感兴趣的:(新代码漏洞“永恒之黑”该如何警惕?)