您现在的位置是:首页 > 要闻 > 正文 要闻

在未打补丁的Windows设备上发布的可虫漏洞的利用代码

发布时间:2020-06-07 10:07:48来源:

一名研究人员公布了一个微软Windows漏洞的利用代码,如果不打补丁,就有可能在没有用户交互的情况下从一台计算机传播到另一台计算机。

所谓的“可蠕虫”(wormable)安全漏洞是最严重的漏洞之一,因为利用一台易受攻击的计算机可以引发连锁反应,迅速扩散到数十万、数百万或数千万台其他易受攻击的计算机。2017年的WannaCry和NotPetya漏洞分别在全球造成了数十亿和数百亿美元的损失,它们的成功要归功于CVE-2017-0144,一个更早的可虫Windows漏洞的跟踪号码。

破坏的另一个关键是由国家安全局开发、后来从该机构窃取并最终在网上公布的可靠代码。微软在2017年3月修复了该漏洞,两个月后第一个漏洞开始出现。

本周一,Github用户Chompie1337发布了针对这个新的可蠕虫病毒Windows漏洞的概念验证利用代码。该漏洞并不可靠,经常会导致出现BSOD(系统故障时Windows显示的蓝屏死机)的崩溃。无论如何,这些代码仍然是一个蓝图,通过更多的工作,可以用来远程攻击脆弱的机器,然后传播开来。

“这还没有在我的实验室环境之外测试过,”Github用户写道。“它写得很快,需要做一些工作才能更可靠。有时你BSOD。把它用于任何除了自我教育之外的目的都是一个极其糟糕的主意。你的电脑会着火的。小狗会死。”

SMBGhost是微软新漏洞的名称,远程攻击者可能不那么容易利用它,但它可能会被蠕虫攻击,而且即使是重大安全漏洞,打补丁的速度也很慢,这仍引发了一些安全专业人士的担忧。微软表示,恶意攻击的可能性“更大”。

就像WannaCry和NotPetya所利用的漏洞一样,它存在于Windows实现的服务器消息块中,这是一种操作系统用来在本地网络和互联网上共享文件、打印机和其他资源的服务。与旧的漏洞一样,新漏洞也可以被远程利用,只需将恶意编写的数据包发送到连接到Internet的SMB端口。

“这可能是因为远程内核开发与本地开发非常不同,攻击者无法利用有用的OS功能,比如创建用户域进程,引用PEB[进程环境块],以及发出系统调用,”来自Ricerca Security的研究人员在4月份发布的一篇详细文章中写道。“再加上Windows 10中引入的缓解措施,这一限制使得RCE的实现更具挑战性。”

新发布的漏洞的结果是,它增加了攻击者开发远程工作的蠕虫的机会。

3月10日,安全公司Fortinet和思科安全集团Talos公布了有关该漏洞的报告,并迅速将其删除。没有人解释过为什么缺陷细节会被公布,然后又被删除。两天后,微软发布了一个临时更新,修补了这个漏洞。

“我们建议客户尽快安装更新,因为公开披露的漏洞有可能被坏人利用,”微软官员在周五的一份声明中写道。“针对该漏洞的更新于今年3月发布,已经安装了更新或启用了自动更新的客户已经受到保护。”

工作区,减轻利用,但不实际修复潜在的漏洞包括:

人们从WannaCry和NotPetya中学到,Windows用户通常要等上几个月甚至更长时间才能安装关键软件更新。有时,不作为是由于注意力不集中,但通常是因为补丁破坏了网络内部的核心功能。还有一些时候,是因为运营商在安装补丁和更改不兼容组件或服务所需的时间内,不能随意关闭系统。

独立研究人员Troy Mursch说,他看到了对这个漏洞的“机会性大规模扫描”,这表明攻击者一直在监视脆弱的网络。由于可靠的漏洞看起来更有可能被利用,现在将是落后者最终安装补丁的好时机。

标签: