Windows 爆可電腦互相感染惡意程式的 SMBv3 RCE 漏洞
微軟本周釋出本月安全更新,同時卻又傳出一個 Windows Server Message Block 3.0(SMB v3)網路通訊協定有一個可由電腦直接感染其他電腦的驗證前遠端程式碼執行(remote code execution, RCE)漏洞。
該漏洞編號 CVE-2020-0796,出在 SMBv3 處理壓縮資料封包的過程出現錯誤,導致未獲授權的遠端攻擊者可以在目標 SMB 伺服器或是 SMB 用戶端執行任意程式碼。
攻擊者可能傳送改造的封包到目標 SMBv3 伺服器來開採漏洞。如果要攻擊 SMBv3 用戶端軟體,攻擊者必須先設定一台 SMB v3 伺服器,誘使用戶電腦連上。
多位曾研究過該漏洞的安全專家也公佈了部份細節。受到影響的產品涵括所有包含 SMBv3.1.1 的版本,像是 Windows 10 1903、1909、Windows Server 10 1909、Windows 8 和 Server 2012。
思科 Talos 解釋,攻擊者可以透過傳送改造過的封包到受害者電腦連結的 SMBv3 伺服器來開採漏洞。而這會讓受害系統遭遇「可蠕蟲化」(wormable)的攻擊,意指可以直接從一台電腦感染另一台電腦。Fortinet 安全研究人員則指出,成功開採 CVE-2020-0796 可使攻擊者接管整台系統。
安全廠商猜測漏洞安全風險相當高,且可能已有惡意程式出現,嚴重情況可比 EternalBlue、NotPetya、WannaCry 或 MS17-010。其他廠商甚至將該漏洞起了個正式名字,像是 SMBGhost、DeepBlue 3: Redmond Drift、Bluesday、CoronaBlue 及 NexternalBlue 等。
雖然目前還沒有針對 CVE-2020-0796 的概念驗證(PoC)攻擊,不過在微軟發佈 CVE-2020-0796 RCE 漏洞的修補程式前,思科 Talos 建議關閉電腦及防火牆的 SMBv3 壓縮和 445 TCP 傳輸埠,應該就能阻絕被攻擊的風險。