2020年3月12日,微软紧急发布带外补丁修复了SMBv3协议中的一个”满分”级远程代码执行漏洞SMBGhost(CVE-2020-0796)——该漏洞源于SMBv3在处理压缩数据包时的逻辑缺陷,攻击者仅需向目标445端口发送特制数据包即可触发,无需用户交互,具有蠕虫级传播潜力,然而补丁发布数月后全球仍有超过10万台设备暴露于公网且未修复,2020年6月更被”黑球”僵尸网络武器化利用。
SMBGhost的CVSS评分高达10.0满分,其利用方式和潜在危害被安全研究人员直接类比于2017年造成全球数十亿美元损失的”永恒之蓝”漏洞。微软原计划在3月例行补丁星期二发布修复,但漏洞信息在安全社区中被提前泄露,迫使微软于3月12日紧急推出带外更新。受影响范围包括Windows 10 1903/1909以及Windows Server 1903/1909等主流版本。尽管微软行动迅速,安全公司的全球扫描数据显示,补丁发布两个月后仍有超过10万台设备将445端口直接暴露于公网且未安装补丁,成为”活靶子”。
2020年6月,安全研究人员发现名为”黑球”(DarkBall)的僵尸网络已将SMBGhost漏洞武器化,对未修复系统发起大规模扫描和攻击。与此同时,安全社区在漏洞公开后发布了多个概念验证代码(PoC),甚至出现了完整的本地提权利用工具,进一步降低了攻击门槛。微软呼吁用户立即安装补丁并禁用SMBv3压缩功能作为缓解措施。网络安全专家反复强调,向公网暴露445端口本身就是危险配置,在多数业务场景下完全可以通过VPN或防火墙策略解决,属于”不必要且可避免”的安全风险。
SMBGhost事件再次印证了一个经得起反复验证的结论:网络安全中最薄弱的环节往往不是零日漏洞本身,而是漏洞出现后组织未能及时采取基础缓解措施。及时打补丁和合理配置端口暴露策略——这两项看似朴素的安全动作,仍然是每一个联网组织必须守住的绝对底线。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- 微软安全响应中心(MSRC):CVE-2020-0796安全更新
- NVD/NIST:SMBGhost漏洞详情(CVSS 10.0)
- BleepingComputer:黑球僵尸网络SMBGhost武器化报道
暂无评论内容