一个未修补的微软漏洞是如何在不经意间泄露的
西雅图和硅谷正在努力应对新冠状病毒的影响,微软周二修复了大量漏洞,作为其每月定期软件更新的一部分。 根据思科Talos的安全研究人员,本月的更新修复了117个漏洞。 其中25人被评为“关键”、91人被评为“重要”和1人被评为“中等”。
但对安全研究人员和“周二补丁”追随者来说,最突出的是不存在的补丁。
思科Talos和Fortinet最初发布了另一个漏洞的信息,被识别为“CVE-2020-0796”,但没有修补。 虽然思科更新了它的咨询以删除有关漏洞的信息,但它在Twitter上的追随者发现了这一差异,并迅速进行了编辑,并保存了信息。 社区还开始推测脆弱性的性质及其风险。 一些研究人员很快将漏洞称为“SMBGhost”:存在但不可见的服务器消息块漏洞。
CVE-2020-0796-一个“可虫”的SMBv3漏洞。 很棒的...? pic.twitter.com/E3uPZkOyQN
-Malware Hunter Team(@malwrhunterteam)2020年3月10日
世界各地的研究人员迅速指出,这是微软服务器消息块(SMB)处理中一个未经认证的、基于网络的远程代码执行漏洞,可以赋予系统级权限。 换句话说,这与被称为CVE-2017-0144的漏洞有很大的共同之处,这是永恒之蓝的攻击,后来在2017年的WannaCry和NotPetya攻击中成为关键。 在某种程度上似曾相识,这种脆弱性也在当年3月得到修补。
周二晚些时候,微软发布了一份安全咨询(ADV200005),其中详细介绍了一个新的、未匹配的漏洞,以及解决方案的信息:人们可以采取步骤来防止试图在没有补丁的情况下利用漏洞。 虽然咨询意见没有具体谈到CVE-2020-0796,但细节与发布的关于该漏洞的细节相匹配,研究界很快就匹配了这两者。
在本文中,没有补丁可用,也没有微软的官方时间表,说明补丁何时可以发布。
“永恒的蓝色”、“想哭”和“不是Petya”等词足以为安全团队敲响警钟。 在2017年,“想哭而不是佩蒂亚”的攻击具有巨大的破坏性和代价。 例如,Maersk遭受了几个星期的全球停工和重大损失,因为不是Petya,如WIRED所详述的。 另一种脆弱性,如“永恒之蓝”,令人担心这两种攻击都会重复。
此外,由于美国对新的冠状病毒的反应,许多安全和行动小组正在家里工作,这种新的关键脆弱性的时间特别具有挑战性。 这使得实现变通方案和补丁更加具有挑战性。
最后,似乎是为了证明“麻烦三次传播”的格言,就在这一天爆发的时候,安全处理两个星期前在旧金山举行的年度RSA安全会议的两名与会者对冠状病毒检测呈阳性,其中一人据报告住院。
在这种背景下,这一最新发展似乎令人震惊。
然而,有一些关键的不同之处值得铭记,这使得这种情况不像三年前的永恒蓝色局势那样可怕。
总的来说,虽然这种情况的时机具有挑战性,乍一看会引起警钟,但技术事实使这种情况成为一种危急情况,但不是一种可怕的情况。 这会影响Windows Server的最新版本,这会对云提供商产生特殊影响。 但是,一个易于实施和回滚的解决方案的存在,其影响最小,意味着组织可以而且应该立即实施这种解决方案,并将其保持在适当的位置,直到有补丁。 微软已经提供了一线Power Shell脚本来实现和回滚解决方案,这意味着即使是在家远程工作的团队也可以相对快速地部署它。
我们不知道为什么没有补丁和什么时候来。 但好消息是,组织今天可以采取简单、明确、具体的步骤来帮助保护自己和他人。 虽然这与冠状病毒有关的时间并不是很好,但我们所有人在这里的指导是:不要惊慌,遵循简单、明智的步骤,你将帮助保护自己和更广泛的社区。