微软此次曝光的高危漏洞名为“永恒之黑”,可能影响全球10万台服务器),攻击者可利用该漏洞实现远程代码执行,无需许可。一旦被成功利用,其伤害将不亚于永恒之蓝。全球10万台服务器可能成为第一轮攻击目标。SMB(ServerMessageBlock)协议作为一种局域网文件共享传输协议,常被用作共享文件安全传输研究的平台。由于SMB3.1.1协议处理的是压缩消息,其中的数据没有经过安全检查,直接使用会造成内存损坏漏洞,可能被攻击者用来远程执行任意代码。被黑客攻击的目标系统只要通电即可入侵。据了解,Windows101903之后的所有终端节点均在政府机关、企事业单位网络中采用,如Windows家庭版、专业版、企业版、教育版、Windows101903(19H1)、Windows101909、WindowsServer19H1都是潜在的攻击目标,Windows7不受影响。根据腾讯安全网络资产风险检测系统提供的数据,目前全球约有10万个可能存在漏洞的SMB服务直接暴露在公网,可能成为第一轮漏洞攻击。海外安全机构给该漏洞赋予了SMBGhost、EternalDarkness(“永恒的黑暗”)等多个代号,可见其危害性有多大。据腾讯安全专家介绍,SMB远程代码执行漏洞与“永恒之蓝”系列漏洞非常相似。他们都利用WindowsSMB漏洞进行远程攻击以获得最高系统权限。一旦黑客潜入,就可以利用针对性的漏洞攻击工具在内网传播,整体风险不亚于永恒之蓝,政企用户应高度重视,谨慎防护。除了直接攻击SMB服务器导致远程代码执行(RCE)外,“永恒之黑”漏洞的亮点在于对SMB客户端的攻击。攻击者可以构造“特制”网页、压缩包、共享目录、OFFICE文档。等,发送给攻击目标,一旦攻击者打开,就会瞬间触发漏洞进行攻击。针对该漏洞,腾讯安全第一时间启动应急响应,为企业用户提供了一套完整的解决方案。“永恒之黑”被境外安全厂商意外披露后,腾讯安全威胁情报中心基于威胁情报库和智能分析系统,第一时间分析漏洞影响范围和利用方式,实时掌握安全态势意识,为企业用户提供主动的安全响应服务。腾讯安全专家建议政企用户及时更新Windows完成补丁安装,防范可能的入侵风险。同时,腾讯安全启动应急预案,率先推出SMB远程代码执行漏洞扫描工具。政企用户只需登录网站(https://pc1.gtimg.com/softmgr/files/20200796.docx)下载并填写《获取SMB远程代码执行漏洞扫描工具申请书》,发送至es@tencent.com进行授权,然后使用该工具远程检测全网终端的安全漏洞。腾讯安全终端安全管理系统也进行了升级。企业网管可以使用全网漏洞扫描修复功能,对全网进行统一扫描,安装KB4551762补丁,阻断利用该漏洞的病毒、木马等攻击行为。腾讯安全终端安全管理系统拦截漏洞攻击。此外,腾讯安全网络资产风险检测系统和腾讯安全高级威胁检测系统可全面检测企业网络资产是否受到安全漏洞影响,帮助及时感知企业网络各类入侵渗透攻击风险。防患于未然。对于个人用户,腾讯安全专家推荐使用腾讯电脑管家的漏洞扫描修复功能安装补丁。对于没有安装管家的用户,腾讯安全还单独提供了SMB远程代码漏洞修复工具,为用户安全保驾护航。用户可以通过这个地址(http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe)下载使用,也可以尝试运行Windows更新修复补丁,或者手动修改注册表来防止远程攻击由黑客。不过,腾讯安全专家也提醒用户,如果攻击者利用漏洞构建网页、文档、共享文件,封锁445端口和修改注册表无法解决问题,只能通过安装补丁修复。针对该漏洞,腾讯安全将持续关注保护企业和个人用户的安全。
