Windows含有一個未被修補的SMB蠕蟲漏洞

微軟在本周二（3/10）的Patch Tuesday修補了115個安全漏洞，遺漏了一個原本要修補、卻未修補的Server Message Block（SMB）漏洞，成功的開採將允許遠端駭客在SMB伺服器或客戶端執行任意程式，由於它的嚴重性可能相當於EternalBlue攻擊程式所利用的CVE-2017-0145，而引起外界關注。

微軟通常會在Patch Tuesday之前就與資安業者分享當月的修補資訊，以讓資安業者可在Patch Tuesday當天同步提出修補建議，因此，資安業者在事前就得知了此一編號為CVE-2020-0796的新SMB漏洞，不過，微軟周二並未修補該漏洞，而僅祭出該漏洞的安全通報。

根據微軟的說明，當Microsoft Server Message Block 3.1.1（SMBv3）協定處理特定的請求時，就能觸發一個允許駭客執行任意程式的安全漏洞。若要開採位於SMB伺服器的漏洞，駭客必須傳送一個特製的封包到伺服器上，若要開採SMB客戶端漏洞，駭客則需要配置一個惡意的SMB伺服器並誘導受害者連結它。

此一漏洞波及了Windows 10 1903/1909，以及Windows Server 1903/1909。

由於此次微軟並未修補CVE-2020-0796，而使得資安業者臨時將寫好的CVE-2020-0796內容撤下，但已被Bing搜尋引擎存檔。例如思科（Cisco）旗下的威脅情報組織Talos就說，該漏洞一旦被開採，便有可能帶來蠕蟲式的攻擊，代表它能很快地感染其它受害者。

碰巧看到Talos最初刊登文章的資安專家們，便建議Windows用戶應該要儘快修補CVE-2020-0796，指出它可能帶來與CVE-2017-0145同樣的災難，像是EternalBlue攻擊程式，以及基於EternalBlue的WannaCry與NotPetya攻擊等。

儘管微軟沒能釋出CVE-2020-0796的修補程式，但微軟提出了暫時解決方案，只要關閉SMBv3的壓縮功能，就能防止未經授權的駭客開採位於SMB伺服器上的漏洞。至於在SMB客戶端的防範措施，則是應避免SMB流量，藉由橫向連結進入或離開網路。

不過，已有資安專家呼籲微軟應儘快修補該漏洞，不要等到下個月才修補。

微軟緊急修補SMB蠕蟲漏洞

微軟在周四（3/12），完成了無法在3月Patch Tuesday準時提供的CVE-2020-0796漏洞修補，該漏洞存在於Microsoft Server Message Block 3.1.1（SMBv3）協定中，允許駭客自遠端執行任意程式，且被英國資安業者Sophos視為本月微軟最重要的安全漏洞。

微軟原本計畫要在Patch Tuesday同步修補CVE-2020-0796，只是當天卻未見CVE-2020-0796，但事前收到微軟通知的資安業者不小心外洩了CVE-2020-0796的資訊，且微軟也公布了與該漏洞有關的安全通報。

不過，微軟在兩天後緊急修補了CVE-2020-0796。此一存在於SMBv3協定的漏洞，可同時用來開採SMB伺服器端與SMB客戶端程式，波及Windows 10 1903/1909，以及Windows Server 1903/1909等平台。

根據Sophos的說明，該漏洞涉及其中一個核心驅動程式的整數上溢與下溢，駭客可藉由惡意封包來觸發下溢，以自由讀取核心，或是觸發上溢來覆蓋核心中的寫入指標。

Sophos指出，駭客可能透過網路，來危害任何啟用檔案分享功能的Windows電腦，不管是個人電腦或是檔案伺服器；或是利用社交工程或中間人攻擊以將Windows用戶引導至惡意的SMB伺服器；也可藉此展開權限擴張攻擊，取得系統的更高權限。

一般而言，Windows防火牆會封鎖從SMB埠進入的公共網路流量，但如果防火牆被關閉了，SMB埠被開啟了，或是該電腦位於Windows Domain中，那麼可能就會曝露在安全風險中，因此，任何未修補且開放SMB埠的電腦，都有可能受到攻擊，而且是類似WannaCry般的蠕蟲式攻擊。

這類的攻擊通常鎖定開啟的445/tcp連接埠，但使用者不能只透過關閉445/tcp來因應，因為不只是SMB，其它Windows Domain的重要元件，也需要使用445/tcp。

總之，Sophos呼籲Windows用戶應該要立即修補CVE-2020-0796。