專家透露,在最終被發(fā)現(xiàn)和修補(bǔ)之前,一個(gè)比 EternalBlue 更嚴(yán)重的漏洞在 Windows 中存在了一段時(shí)間。
對(duì)于那些記憶力較差的人來(lái)說(shuō),EternalBlue 是 NSA 為 Windows 構(gòu)建的零日漏洞,它催生了WannaCry,這可能是迄今為止出現(xiàn)的最具破壞性的全球勒索軟件威脅。
發(fā)現(xiàn)該漏洞的 IBM 研究人員表示,由于它存在于更廣泛的網(wǎng)絡(luò)協(xié)議中,因此它的威力更大,使威脅參與者在進(jìn)行攻擊時(shí)具有更大的靈活性。
三個(gè)月的進(jìn)展
這個(gè)漏洞被追蹤為 CVE-2022-37958,并不是全新的漏洞,因?yàn)樗窃谌齻€(gè)月前被發(fā)現(xiàn)并修復(fù)的。
消息是,沒(méi)有人——包括研究人員,也沒(méi)有發(fā)布補(bǔ)丁的微軟——確切地知道它到底有多危險(xiǎn)。實(shí)際上,它允許威脅行為者無(wú)需身份驗(yàn)證即可運(yùn)行惡意代碼。此外,它是蠕蟲病毒,允許威脅行為者在其他易受攻擊的端點(diǎn)上觸發(fā)自我增殖攻擊的連鎖反應(yīng)。換句話說(shuō),利用該漏洞的惡意軟件可能會(huì)像野火一樣跨設(shè)備傳播。
發(fā)現(xiàn)代碼執(zhí)行漏洞的 IBM 安全研究員 Valentina Palmiotti 在與Ars Technica討論調(diào)查結(jié)果時(shí)表示,攻擊者可以通過(guò)“任何經(jīng)過(guò)身份驗(yàn)證的 Windows 應(yīng)用程序協(xié)議”觸發(fā)該漏洞。
“例如,該漏洞可以通過(guò)嘗試連接到 SMB 共享或通過(guò)遠(yuǎn)程桌面來(lái)觸發(fā)。其他一些示例包括 Internet 公開(kāi)的 Microsoft IIS 服務(wù)器和啟用了 Windows 身份驗(yàn)證的 SMTP 服務(wù)器。當(dāng)然,如果不打補(bǔ)丁,它們也可以在內(nèi)部網(wǎng)絡(luò)上被利用。”
當(dāng)微軟三個(gè)月前首次修補(bǔ)它時(shí),它認(rèn)為該漏洞只會(huì)讓威脅者從設(shè)備中獲取一些敏感信息,因此將其標(biāo)記為“重要”?,F(xiàn)在,該公司修改了評(píng)級(jí),將其標(biāo)記為“嚴(yán)重”,嚴(yán)重程度得分為 8.1。
與 EternalBlue 不同,它是一個(gè)零日漏洞,讓安全專家和軟件制造商爭(zhēng)先恐后地構(gòu)建修復(fù)程序,這個(gè)漏洞的補(bǔ)丁已經(jīng)發(fā)布了三個(gè)月,所以它的影響應(yīng)該是有限的。