北京時間3月12日晚，微軟發(fā)布安全公告披露了一個最新的SMB遠程代碼執(zhí)行漏洞(CVE-2020-0796)，攻擊者利用該漏洞無須權限即可實現遠程代碼執(zhí)行，一旦被成功利用，其危害不亞于永恒之藍，全球10萬臺服務器或成首輪攻擊目標。

SMB(Server Message Block)協議作為一種局域網文件共享傳輸協議，常被用來作為共享文件安全傳輸研究的平臺。由于SMB 3.1.1協議中處理壓縮消息時，對其中數據沒有經過安全檢查，直接使用會引發(fā)內存破壞漏洞，可能被攻擊者利用遠程執(zhí)行任意代碼，受黑客攻擊的目標系統(tǒng)只要開機在線即可能被入侵。據了解，凡政府機構、企事業(yè)單位網絡中采用Windows 10 1903之后的所有終端節(jié)點，如Windows家用版、專業(yè)版、企業(yè)版、教育版，Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均為潛在攻擊目標，Windows 7不受影響。

根據騰訊安全網絡資產風險檢測系統(tǒng)提供的數據，目前全球范圍可能存在漏洞的SMB服務總量約10萬臺，直接暴露在公網，可能成為漏洞攻擊的首輪目標。海外安全機構為這個漏洞起了多個代號，如SMBGhost、EternalDarkness(“永恒之黑”)，可見其危害之大。

騰訊安全專家介紹，SMB遠程代碼執(zhí)行漏洞與“永恒之藍”系列漏洞極為相似，都是利用Windows SMB漏洞遠程攻擊獲取系統(tǒng)最高權限，黑客一旦潛入，可利用針對性的漏洞攻擊工具在內網擴散，綜合風險不亞于永恒之藍，政企用戶應高度重視、謹慎防護。

除了直接攻擊SMB服務端造成遠程代碼執(zhí)行(RCE)外，“永恒之黑”漏洞的亮點在于對SMB客戶端的攻擊，攻擊者可以通過構造一個“特制”的網頁、壓縮包、共享目錄、OFFICE文檔等，向攻擊目標發(fā)送，一旦被攻擊者打開則瞬間觸發(fā)漏洞受到攻擊。

針對該漏洞，騰訊安全已在第一時間啟動應急響應，并為企業(yè)用戶提供全套解決方案。在“永恒之黑”意外被海外安全廠商披露后，騰訊安全威脅情報中心基于威脅情報數據庫及智能化分析系統(tǒng)，第一時間對該漏洞的影響范圍、利用手法進行分析，并實時進行安全態(tài)勢感知，為企業(yè)用戶提供主動的安全響應服務。

騰訊安全專家建議政企用戶及時更新Windows完成補丁安裝，防范可能存在的入侵風險。同時，騰訊安全目前已啟動應急響應方案，率先推出了SMB遠程代碼執(zhí)行漏洞掃描工具。政企用戶只需登錄網址(https://pc1.gtimg.com/softmgr/files/20200796.docx)下載并填寫《獲取SMB遠程代碼執(zhí)行漏洞掃描工具申請書》，發(fā)送至郵箱es@tencent.com獲取授權后，即可使用該工具遠程檢測全網終端安全漏洞。

騰訊安全終端安全管理系統(tǒng)也已實現升級，企業(yè)網管可采用全網漏洞掃描修復功能，全網統(tǒng)一掃描、安裝KB4551762補丁，攔截病毒木馬等利用該漏洞的攻擊。

騰訊安全終端安全管理系統(tǒng)攔截漏洞攻擊

此外，騰訊安全網絡資產風險檢測系統(tǒng)、騰訊安全高級威脅檢測系統(tǒng)可全面檢測企業(yè)網絡資產是否受安全漏洞影響，幫助及時感知企業(yè)網絡的各種入侵滲透攻擊風險，防患于未然。

對于個人用戶，騰訊安全專家建議采用騰訊電腦管家的漏洞掃描修復功能安裝補丁，對于未安裝管家的用戶，騰訊安全還單獨提供SMB遠程代碼漏洞修復工具，守護用戶安全，用戶可通過此地址(http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe)下載使用，也可嘗試運行Windows 更新修復補丁，或通過手動修改注冊表防止被黑客遠程攻擊。但騰訊安全專家也提醒用戶，攻擊者如果利用漏洞構造網頁、文檔、共享文件投遞，封堵445端口和修改注冊表都不能解決，只能通過安裝補丁來修復。針對該漏洞，騰訊安全將持續(xù)保持關注，守護廣大企業(yè)及個人用戶安全。