6月2日,有国外安全研究员在GitHub上公开了一份微软此前发布漏洞(SMBv3远程代码执行漏洞)的利用代码,这意味着任何黑客都可以方便的利用该漏洞发起攻击。由于漏洞无需用户验证的特性,可能导致类似WannaCry攻击那样蠕虫式的传播。
据奇安信CERT发布的漏洞预警通告显示,该漏洞为Microsoft SMBv3网络通信协议中的预身份验证远程代码执行漏洞。SMBv3在处理特定请求时,存在远程代码执行漏洞,该漏洞影响SMBv3服务器和SMBv3客户端。未经身份验证的攻击者可通过向受影响SMBv3服务器发送特制的压缩数据包来利用此漏洞,攻击者还可以通过配置恶意SMBv3服务器并诱导用户连接来利用此漏洞,成功利用此漏洞的远程攻击者可在目标机器上执行任意代码。
微软官方将该漏洞标记为“被利用可能性高”,目前已发布针对此漏洞受影响版本的补丁程序,该安全更新通过更正SMBv3协议处理这些特制请求的方式来解决此漏洞。鉴于漏洞危害较大,用户应尽快安装补丁程序。
值得关注的是,在此漏洞公开后的第一时间,奇安信已发布针对SMBv3远程代码执行漏洞的检测工具,可用于检测相关资产是否存在该漏洞以及是否已经安装对应补丁。
另外,如暂时无法安装补丁程序,可通过部署奇安信安全设备来检测和防御利用该漏洞的攻击行为。目前,奇安信旗下新一代智慧防火墙、天眼新一代威胁感知系统以及网神网络数据传感器系统等相关产品已支持利用该漏洞的攻击行为,用户应该尽快升级规则库至最新版本并启用相应规则。
关于该漏洞技术细节详情、漏洞扫描工具下载使用方法以及相关安全设备的更新方式,可访问奇安信CERT漏洞风险通告,链接:
https://mp.weixin.qq.com/s/hUi0z37dbF9o06kKf8gQyw