Windows有一个新的虫化漏洞而且目前还没有补丁

最新版本的Windows系统在周二发布了一条新的漏洞消息，该漏洞有可能引发一种自我复制的攻击，这种攻击使WannaCry和NotPetya蠕虫削弱了世界各地的商业网络。

漏洞存在于服务器消息块的3.1.1版本中，该服务用于在本地网络和互联网上共享文件、打印机和其他资源。 微软在这份裸机咨询中说，成功利用漏洞的攻击者可以在使用漏洞协议的服务器和最终用户计算机上执行他们选择的代码。

这一缺陷被跟踪为CVE-2020-0796，影响到Windows10、1903和1909版本以及Windows Server版本1903和1909，这些版本是相对较新的版本，微软已经投入了大量资源来对付这些类型的攻击。 补丁没有，周二的咨询也没有给出发布的时间表。 当被问及是否有发布修复方案的时间表时，微软的一位代表说：“除了你链接的咨询之外，此时微软没有其他东西可以分享。

与此同时，微软表示，可以通过禁用压缩来保护脆弱服务器，以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞。 用户可以使用以下Power Shell命令关闭压缩，而无需重新启动机器：

如果脆弱的客户端计算机或服务器连接到恶意的SMB服务，该修复程序不会保护它们，但在这种情况下，攻击是不可虫蛀的。 微软还建议用户阻塞端口445，该端口用于在机器之间发送SMB流量。

一家由安全公司Fortinet发布并删除的咨询意见将脆弱性描述为“MS.SMB.Server”。 Compression.Transform.Header. 记忆。 腐败。“被拉的顾问说，缺陷是脆弱的Micros of tSMB服务器中缓冲区溢出的结果。

Fortinet研究人员写道：“脆弱性是由于脆弱软件处理恶意制作的压缩数据包时出现了错误。 “一个远程的、未经身份验证的攻击者可以利用它在应用程序的上下文中执行任意代码。

思科的Talos安全团队也发表了自己的咨询意见-后来又撤回了。 它称漏洞为“可虫性”，这意味着一个漏洞可以触发一个连锁反应，允许攻击从易受攻击的机器扩散到易受攻击的机器，而不需要管理员或用户的任何交互。

“攻击者可以通过向目标SMBv3服务器发送一个特别制作的数据包来利用这个错误，而受害者需要连接到该服务器，”删除的Talos帖子说。 “鼓励用户禁用SMBv3压缩，并在防火墙和客户端计算机上阻止TCP端口445。 这种脆弱性的利用为系统打开了一个“蠕虫”攻击，这意味着从受害者转移到受害者是很容易的。

微软的SMBv3的实现引入了各种措施，旨在使协议在Windows计算机上更加安全。 这一更新在WannaCry和NotPetya使用了一个由国家安全局开发并后来被盗的漏洞后得到了更广泛的应用。 被称为永恒蓝色，攻击利用SMBv1获得远程代码执行，并从机器移动到机器。 微软也同样地加强了Windows10和Server2019，以更好地抵御漏洞，特别是那些否则将是可虫的漏洞。

不清楚为什么微软发布了稀疏的细节，为什么Fortinet和Talos都发布了，然后撤回了他们的建议。 这一事件发生在每个月的第二个星期二，即微软发布一系列补丁来修复各种安全漏洞。

虽然CVE-2020-0796可能是严重的，但并不是每个人都说它构成了SMBv1缺陷所带来的威胁，这种缺陷被WannaCry而不是Petya所利用。 这些蠕虫是由公开发布的永恒蓝色，这是一个如此可靠的剥削，使开发一个复制和粘贴的练习。 对蠕虫成功的另一个主要贡献是当时SMBv1几乎无处不在。 相比之下，SMBv3的使用要少得多。

SMB还受到内核地址空间布局随机化的保护，这种保护可以随机化在成功利用漏洞时加载攻击者代码的内存位置。 保护要求攻击者设计两个高度可靠的漏洞，一个滥用缓冲区溢出或其他代码执行漏洞，另一个揭示恶意有效载荷的内存位置。 这种保护要求Buckeye，一个先进的黑客集团，在永恒之蓝神秘泄漏14个月前利用了SMBv1缺陷，也使用了一个单独的信息披露缺陷。

前国安局黑客、安全公司RenditionSecurity创始人杰克·威廉姆斯(JakeWilliams)在Twitter上表示，这两个因素都可能会给脆弱的网络带来时间。

他写道：“TL；这里的DR是认真的，但它不想哭2.0。 “受影响的系统较少，而且没有现成的开发代码。 我对另一个SMBVuln并不激动，但我们都知道这会到来（这不会是最后一次）。 不过，歇斯底里是没有道理的。

5. 即使有触发代码，您仍然必须远程绕过KASL R（不是一个容易的任务）。 如果你需要证据，看看巴克耶。 他们有永恒的蓝色触发器，但必须将其与另一个信息披露漏洞链接，以获得代码执行。 这不容易。 3

-杰克·威廉姆斯(@Malware Jake)2020年3月10日

同样值得记住的是，Blue Keep，微软去年5月修补的另一个可虫性漏洞的名字，尚未被广泛利用-如果有的话-尽管它给世界各地的网络带来了严重的风险。

这些咨询意见的原因被公布，然后在Twitter上引发了大量的猜测。 微软通常会向杀毒产品和入侵防御系统的制造商提供关于即将发布的补丁的详细信息。 这可能是微软延迟发布的SMBv3补丁在最后一分钟，这些合作伙伴没有得到消息。

不管是什么原因，这只猫现在不在包里了。 在互联网上暴露了SMBv3的Windows用户会尽快听取微软的安全建议。