Microsoft锁定了与EterNalblue echoes的新漏洞
Microsoft在Microsoft的服务器消息块3.1.1(SMBV3)中急于进入严重的“沃尔可遭受的”漏洞,该漏洞可能会使黑客为HACKERS提供远程在目标SMB服务器或客户端上执行代码,因为它如何处理压缩数据包。
该漏洞的详细信息开始于3月10日开始泄露,并通过安全供应商合作伙伴来获得早期访问漏洞信息。
这与Microsoft在3月10日发布了其每月修补周二更新的情况下发生了这一点,但在更新中没有提到漏洞,提出了安全专业人员的问题,为什么Redmond在每月的修复中没有包含它。
在咨询票据中,微软说:“要利用对SMB服务器的漏洞,未经身份验证的攻击者可以将特制的数据包发送到目标SMBV3服务器。要利用对SMB客户端的漏洞,未经身份验证的攻击者需要突出恶意SMBV3服务器并说服用户连接到它。“
Kieran Roberts是BulletProof的渗透测试主管,说漏洞尤为严重,因为风险的SMB协议是易受Eternalblue开发的同一个导致Wannacry Ransomware爆发的同一个。
“似乎这个新的漏洞有几个与EternalBlue相同的标志。从我们所拥有的信息,似乎这个新的漏洞也是“令人讨厌” - 蠕虫是一个自我复制的恶意软件,这意味着它可以在整个网络中传播而不来自用户的帮助。这意味着这种新的漏洞可能导致诸如Wannacry和Notpetya等赎金软件攻击的复苏,“他说。
“目前,Microsoft没有修补程序,当一个可能可用时,它们没有发表评论。我们知道这个错误存在的唯一原因是因为Microsoft在他们的补丁周二详细信息中包含有关此漏洞的一些细节,但后来他们实际上并没有修补问题。
“我希望这意味着他们打算在最近的补丁中包含这个修复,但当他们没有截止日期时,他们忘了删除修补程序周二说明中的信息。”
该漏洞已经逐个不同的名称,包括Coronablue,DeepBlue 3:Redmond Drift,Eternaldarkness,NexternalBlue和Smbghrost。
Tenable的主要安全工程师Satnam Narang表示,对EternalBlue的比较肯定是易人。“然而,目前有关于这一新缺陷的信息很少,并且产生可行的漏洞所需的时间和精力是未知的,”他补充道。
“此时,组织可以明智地审查并实施Microsoft提供的解决方法,并开始为漏洞发布的缺陷的修补程序管理优先级,”他补充道。
目前可用的解决方法是禁用SMBV3压缩,以阻止未经身份验证的攻击者利用漏洞。这是输入新PowerShell命令的相对简单的问题,但不需要重新启动,尽管用户应该注意此解决方法不会阻止SMB客户端的开发。
用户可以通过在企业周边防火墙上阻止TCP端口445来保护自己,这将保护防火墙后面的系统免于尝试利用漏洞,尽管这不会解决可能来自内部的攻击。用户还应遵循现有的Microsoft指南以防止SMB流量离开其企业环境。
Microsoft将在提供进一步更新时更新其咨询,用户可以在愿意注册通知。它可能会提供一系列序列补丁。