微軟被曝高危漏洞“永恒之黑” 或危及全球10萬服務(wù)器

　　北京時間3月12日晚，微軟發(fā)布安全公告披露了一個最新的SMB遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-0796），攻擊者利用該漏洞無須權(quán)限即可實現(xiàn)遠(yuǎn)程代碼執(zhí)行，一旦被成功利用，其危害不亞于永恒之藍，全球10萬臺服務(wù)器或成首輪攻擊目標(biāo)。

　　SMB（Server Message Block）協(xié)議作為一種局域網(wǎng)文件共享傳輸協(xié)議，常被用來作為共享文件安全傳輸研究的平臺。由于SMB 3.1.1協(xié)議中處理壓縮消息時，對其中數(shù)據(jù)沒有經(jīng)過安全檢查，直接使用會引發(fā)內(nèi)存破壞漏洞，可能被攻擊者利用遠(yuǎn)程執(zhí)行任意代碼，受黑客攻擊的目標(biāo)系統(tǒng)只要開機在線即可能被入侵。據(jù)了解，凡政府機構(gòu)、企事業(yè)單位網(wǎng)絡(luò)中采用Windows 10 1903之后的所有終端節(jié)點，如Windows家用版、專業(yè)版、企業(yè)版、教育版，Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均為潛在攻擊目標(biāo)，Windows 7不受影響。

　　根據(jù)騰訊安全網(wǎng)絡(luò)資產(chǎn)風(fēng)險檢測系統(tǒng)提供的數(shù)據(jù)，目前全球范圍可能存在漏洞的SMB服務(wù)總量約10萬臺，直接暴露在公網(wǎng)，可能成為漏洞攻擊的首輪目標(biāo)。海外安全機構(gòu)為這個漏洞起了多個代號，如SMBGhost、EternalDarkness（“永恒之黑”），可見其危害之大。

　　騰訊安全專家介紹，SMB遠(yuǎn)程代碼執(zhí)行漏洞與“永恒之藍”系列漏洞極為相似，都是利用Windows SMB漏洞遠(yuǎn)程攻擊獲取系統(tǒng)最高權(quán)限，黑客一旦潛入，可利用針對性的漏洞攻擊工具在內(nèi)網(wǎng)擴散，綜合風(fēng)險不亞于永恒之藍，政企用戶應(yīng)高度重視、謹(jǐn)慎防護。

　　除了直接攻擊SMB服務(wù)端造成遠(yuǎn)程代碼執(zhí)行（RCE）外，“永恒之黑”漏洞的亮點在于對SMB客戶端的攻擊，攻擊者可以通過構(gòu)造一個“特制”的網(wǎng)頁、壓縮包、共享目錄、OFFICE文檔等，向攻擊目標(biāo)發(fā)送，一旦被攻擊者打開則瞬間觸發(fā)漏洞受到攻擊。

　　針對該漏洞，騰訊安全已在第一時間啟動應(yīng)急響應(yīng)，并為企業(yè)用戶提供全套解決方案。在“永恒之黑”意外被海外安全廠商披露后，騰訊安全威脅情報中心基于威脅情報數(shù)據(jù)庫及智能化分析系統(tǒng)，第一時間對該漏洞的影響范圍、利用手法進行分析，并實時進行安全態(tài)勢感知，為企業(yè)用戶提供主動的安全響應(yīng)服務(wù)。

　　騰訊安全專家建議政企用戶及時更新Windows完成補丁安裝，防范可能存在的入侵風(fēng)險。同時，騰訊安全目前已啟動應(yīng)急響應(yīng)方案，率先推出了SMB遠(yuǎn)程代碼執(zhí)行漏洞掃描工具。政企用戶只需登錄網(wǎng)址（https://pc1.gtimg.com/softmgr/files/20200796.docx）下載并填寫《獲取SMB遠(yuǎn)程代碼執(zhí)行漏洞掃描工具申請書》，發(fā)送至郵箱es@tencent.com獲取授權(quán)后，即可使用該工具遠(yuǎn)程檢測全網(wǎng)終端安全漏洞。

　　騰訊安全終端安全管理系統(tǒng)也已實現(xiàn)升級，企業(yè)網(wǎng)管可采用全網(wǎng)漏洞掃描修復(fù)功能，全網(wǎng)統(tǒng)一掃描、安裝KB4551762補丁，攔截病毒木馬等利用該漏洞的攻擊。

　　此外，騰訊安全網(wǎng)絡(luò)資產(chǎn)風(fēng)險檢測系統(tǒng)、騰訊安全高級威脅檢測系統(tǒng)可全面檢測企業(yè)網(wǎng)絡(luò)資產(chǎn)是否受安全漏洞影響，幫助及時感知企業(yè)網(wǎng)絡(luò)的各種入侵滲透攻擊風(fēng)險，防患于未然。

　　對于個人用戶，騰訊安全專家建議采用騰訊電腦管家的漏洞掃描修復(fù)功能安裝補丁，對于未安裝管家的用戶，騰訊安全還單獨提供SMB遠(yuǎn)程代碼漏洞修復(fù)工具，守護用戶安全，用戶可通過此地址（http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe）下載使用，也可嘗試運行Windows 更新修復(fù)補丁，或通過手動修改注冊表防止被黑客遠(yuǎn)程攻擊。但騰訊安全專家也提醒用戶，攻擊者如果利用漏洞構(gòu)造網(wǎng)頁、文檔、共享文件投遞，封堵445端口和修改注冊表都不能解決，只能通過安裝補丁來修復(fù)。針對該漏洞，騰訊安全將持續(xù)保持關(guān)注，守護廣大企業(yè)及個人用戶安全。