SMBv3 漏洞来袭!校园网需警惕
鉴于当前疫情形势,在线模式短期内依然是大学开展教学工作的主要途径,相关的网络和信息服务也容易成为攻击的目标,学校要加强网络信息安全监控和防护的力度,保障特殊时期网络和信息服务的安全平稳运行。
2020 年2~3 月CCERT 安全投诉事件统计
从2~3月的统计看,近期网站漏洞安全事件的投诉数量又有增加趋势。
近期通达OA系统发布公告提醒用户对OA服务器做好安全防护,因为有部分通达OA用户上报其OA服务器遭受到勒索病毒攻击。
这主要是因为在通达OA系统V11版本及其以下版本中存在任意文件上传漏洞和任意文件包含漏洞。相关漏洞被利用后攻击程序会加密OA系统中的文件,并勒索0.3个比特币后才给予解密。
目前通达公司已经针对相关漏洞发布了补丁程序,相关产品的用户应该尽快进行升级。
由于目前对比特币的交易还是无法有效监管,攻击者的变现途径很难追踪。
越来越多的系统和软件漏洞会被用来传播勒索病毒以期获利。用户和系统管理员在做好系统安全防护的同时一定要对重要数据进行脱机备份。
近期新增严重漏洞评述:
1.3月10日微软推出了例行的安全更新,此次更新中修复了其多款产品存在的407个安全漏洞。
受影响的产品包括:Windows 10 1909 & Windows Server v1909(76个)、Windows 10 1903 & Windows Server v1903(75个)、Windows 10 1809 & Windows Server 2019(73个)、Windows 8.1 & Server 2012 R2(55个)、Windows RT 8.1(55个)、Windows Server 2012(43个)、Microsoft Edge (HTML based)(14个)、Internet Explorer(6个)和Microsoft Office-related software(10个)。
3月12日,微软又发布紧急更新公告,用于修补一个可能会被大规模利用的Windows 10 系统中SMBv3的RCE高位漏洞(CVE-2020-0796)。
漏洞产生的原因是SMBv3协议处理某些请求的方式中存在错误,成功利用此漏洞的攻击者可以在目标服务器或客户端上执行任意代码。
未经身份验证的攻击者可以将特制数据包发送到目标 SMBv3 服务器来利用该漏洞;而对于未开启SMB服务的客户端,攻击者则需要引诱其访问恶意的 SMBv3 服务器来利用该漏洞。
由于漏洞无需用户交互即可直接利用,有被用来进行大规模传播的潜质。目前微软已经发布了补丁程序来修补该漏洞,Windows10用户应尽快使用系统自动更新功能安装相关补丁。
如果因为某些原因暂时无法进行更新,可以在系统中关闭SMBv3协议来减缓风险。关闭的方法是使用以下 PowerShell 命令禁用压缩功能:
Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
2.Adobe Type Manager Library是一套字体管理库,用于在各类操作系统中支持特定的字体显示。
Windows中的Adobe Type Manager Library库允许用户在无需打开文件的情况下,在Windows资源管理器的“预览窗格”或“详细信息窗格”中显示文件的内容。
最近有安全公司监测到两个正在被利用的Adobe Type Manager Library 库0day漏洞,这些漏洞允许远程攻击者构建特制文档引诱用户打开或是在Windows预览窗格中查看,以此来在目标系统上执行任意恶意代码。
微软已经针对这些漏洞发布了安全通告,并计划在下个月的例行更新中修补这些漏洞。
用户在没有补丁之前可以利用以下临时办法来减缓风险:
一是在Windows中禁用预览窗格和详细信息窗格(禁用后,Windows资源管理器将不会自动显示OpenType字体);
二是禁用WebClient服务(禁用后,将阻止Web分布式创作和版本控制客户端服务);
三是重命名ATMFD.DLL(Adobe Type Manager字体驱动程序的文件名)。
安全提示
经过永恒之蓝漏洞的攻击后,多数学校都已经在校园网边界出口禁封了SMB的服务端口(TCP 445端口),所以新出的SMBv3漏洞通过广域网络大规模传播的风险有所降低。但仍然要提防相关漏洞在校园网内部被大规模利用,尤其是一些专网内网,病毒可能通过其它摆渡手段进入内网,并利用该漏洞进行内网传播。所以对于专网及内网的Windows系统也要及时更新补丁程序。
(本文刊载于《中国教育网络》杂志2020年4月刊,作者:郑先伟,单位为中国教育和科研计算机网应急响应组;责编:项阳)