吳明宜Windows爆可電腦互相感染惡意程式的SMBv3 RCE漏洞
微軟本周釋出本月安全更新,同時卻又傳出一個Windows Server Message Block 3.0(SMB v3)網路通訊協定有一個可由電腦直接感染其他電腦的驗證前遠端程式碼執行(remote code execution, RCE)漏洞。
該漏洞編號CVE-2020-0796,出在SMBv3處理壓縮資料封包的過程出現錯誤,導致未獲授權的遠端攻擊者可以在目標SMB伺服器或是SMB用戶端執行任意程式碼。
攻擊者可能傳送改造的封包到目標SMBv3伺服器來開採漏洞。如果要攻擊SMBv3用戶端軟體,攻擊者必須先設定一台SMB v3伺服器,誘使用戶電腦連上。
多位曾研究過該漏洞的安全專家也公佈了部份細節。受到影響的產品涵括所有包含SMBv3.1.1的版本,像是Windows 10 1903、1909、Windows Server 10 1909、Windows 8和Server 2012。
思科Talos解釋,攻擊者可以透過傳送改造過的封包到受害者電腦連結的SMBv3伺服器來開採漏洞。而這會讓受害系統遭遇「可蠕蟲化」(wormable)的攻擊,意指可以直接從一台電腦感染另一台電腦。Fortinet安全研究人員則指出,成功開採CVE-2020-0796可使攻擊者接管整台系統。
安全廠商猜測漏洞安全風險相當高,且可能已有惡意程式出現,嚴重情況可比EternalBlue、NotPetya、WannaCry或MS17-010。其他廠商甚至將該漏洞起了個正式名字,像是SMBGhost、DeepBlue 3: Redmond Drift、Bluesday、CoronaBlue及NexternalBlue等。
雖然目前還沒有針對CVE-2020-0796的概念驗證(PoC)攻擊,不過在微軟發佈CVE-2020-0796 RCE漏洞的修補程式前,思科Talos建議關閉電腦及防火牆的SMBv3壓縮和445 TCP傳輸埠,應該就能阻絕被攻擊的風險。