腾讯云鼎实验室发现微软周二补丁日披露了一个SMB服务的重大安全漏洞,攻击者利用该漏洞无须权限即可实现远程代码执行,该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB服务漏洞远程攻击获取系统最高权限。
为避免您的业务受影响,腾讯云安全中心建议您采用T-Sec 网络资产风险检测系统开展安全自查,如在受影响范围,请您及时更新修复Windows补丁,避免被外部攻击者入侵。同时建议使用T-Sec高级威胁检测系统检测攻击行为,升级T-Sec终端安全管理系统(御点)拦截漏洞,开启全方位安全防御。
【风险等级】
高危
【漏洞风险】
远程代码执行攻击
【漏洞详情】
SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。
【影响版本】
漏洞不影响Windows 7,漏洞影响Windows 10 1903之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
正是目前主流操作系统版本,在个人、企业环境应用广泛。
【漏洞影响】
根据腾讯T-Sec网络资产风险监测系统(腾讯御知)提供的数据,目前全球范围可能存在漏洞的SMB服务总量约10万台,直接暴露在公网,可能成为漏洞攻击的首轮目标。
对于政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点,均为潜在攻击目标,黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于永恒之蓝。
【修复建议】
➤ 企业用户及云用户
a.获取公司授权:下载并按要求填写《获取SMB远程代码执行漏洞扫描工具申请书》,签字并加盖申请公司的公章。
下载地址:https://pc1.gtimg.com/softmgr/files/20200796.docx
b.发送授权文件:将符合要求的文件以PDF格式发送至邮箱es@tencent.com,邮件名称及PDF附件统一命名为【申请检测工具+公司名】
➤ 个人用户
运行regedit.exe,打开注册表编辑器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。
对于威胁情报的收集、处理、分析、传递,到反馈应对策略,每一个环节都需要海量数据以及强大技术“后盾”支撑。作为深耕网络安全20余年的腾讯安全,通过腾讯安全威胁情报中心,结合多年黑灰产对抗经验,对海量安全数据进行过滤和自动识别,形成威胁情报库,再从攻击意图、策略以及方法等进行行为模式分析,归入到不同事件等级,进而对外预警和响应,帮助各组织在庞大网络体系中快速反应,以应对不同层级的网络风险,可阅读《一文透析腾讯安全威胁情报能力》,了解更多信息。
关于云鼎实验室
腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新,以及云标准化与合规体系建设等工作。通过机器学习与大数据技术实时监测并分析各类风险信息,同时,云鼎实验室帮助客户抵御高级可持续攻击,并联合腾讯安全其他实验室进行安全漏洞的研究,确保云计算平台整体的安全性,且相关能力通过腾讯云开放出来。云鼎实验室在云安全领域的研究与实战积累,使得腾讯云能够为企业和创业者提供集云计算、云数据、云运营于一体的云端服务体验,同时也是最可信的安全防护平台之一。
关注云鼎实验室,获取更多安全情报
建议采用T-Sec 网络资产风险检测系统开展安全自查。点击“阅读原文”,即可免费试用。