美政府警告駭客開始針對Windows 10 SMBGhost漏洞發動攻擊

美國國土安全部上周（6/5）發布公告，要求用戶儘速修補一個已有修補程式的Windows 10安全漏洞，因為相關攻擊程式正在網路上流傳。

國土安全部下的網路安全暨基礎架構安全署（Cybersecurity and Infrastructure Security，CISA）得知網路上已經可供下載且有效的概念驗證（proof-of-concept, PoC）程式，正在開採未修補Windows 10 PC上的CVE-2020-0796漏洞。雖然微軟三月間即已揭露該漏洞，且釋出安全更新，但是最近有開源安全報告發現，一群攻擊者已經瞄準尚未修補該漏洞的系統發動攻擊。

CVE-2020-0796為一遠端程式碼執行（RCE）漏洞，存在於Microsoft Server Message Block 3.1.1（SMBv3）協定中，可讓遠端駭客傳送惡意封包到SMBv3伺服器觸發，於目標Windows 10機器上執行任意程式。本漏洞影響Windows 10 1903/1909，以及Windows Server 1903/1909等版本作業系統。

CVE-2020-0796為一「wormable」的漏洞，意謂使用者無需動作，駭客即可成功開採，本漏洞CVSS基準風險評分為最高級的10分（即滿分），意謂風險極為重大（critical），又被稱為SMBGhost漏洞。由於微軟未能在當月的Patch Tuesday修補，迫使微軟緊急發出例外安全更新。

CISA建議用戶及企業IT管理員儘速安裝更新版本杜絕這項漏洞，並使用防火牆關閉SMB傳輸埠的對外連線。

Windows 10再傳可串聯SMBGhost的SMBleed漏洞

微軟昨（10）日釋出Patch Tuesday安全更新，修補了一個能和SMBGhost串聯使用的SMBleed漏洞。

本周Patch Tuesday修補了129個漏洞，包括11項重大風險漏洞，其中包括CVE-2020-1206，它和上周美國CISA警告有網路攻擊的SMBGhost一樣，出現在Windows 10中 Server Message Block 3.1.1（SMBv3）協定對特定訊息處理不當。未授權的遠端攻擊者可設立一臺惡意SMBv3伺服器，誘使用戶連結以傳送惡意封包以開採漏洞。成功開採CVE-2020-1206可讓遠端攻擊者讀取Windows核心記憶體內容，因而又被稱為SMBleed漏洞。

安全廠商ZecOps解釋，SMBleed漏洞出在壓縮元件對SMBv3 的解壓縮函式對SMB2 WRITE的訊息處理不當，可造成SMB v3 Server未初始化（uninitiatized）核心記憶體洩露，進而修改壓縮函式。

SMBleed的CVSS 3.0 Base基準風險評分為8.5，屬於高風險。雖然不若「wormable」的SMBGhos為10分，但研究人員還發現，若SMBleed和SMBGhost串聯起來，將可讓遠端攻擊者未經驗證在Windows 10電腦或伺服器上執行任意程式碼。

ZecOps也釋出兩個概念驗證程式，說明SMBleed單獨以及結合SMBGhost的驗證可能性。

SMBleed漏洞影響Windows 10 1903、1909以及Server 1903、1909及2004版。本周Patch Tuesday 已經修補。但如果用戶來不及安裝，微軟建議關閉SMBv3壓縮功能，以封鎖未驗證人士的開採行為。

快更新！美國國安局：駭客利用微軟舊漏洞掀攻擊潮

美國國土安全部近日發出警告，指最近有一波駭客攻擊潮，全都是利用微軟一個名為「CVE-2020-0796」的資安漏洞。該漏洞可讓駭客自由進行遠距離攻擊，且完全不需要用戶進行任何觸發動作（例如點擊釣魚信件的連結等），因此用戶最好盡快將系統更新至最新版本，以免遭駭。

根據資料，駭客可以透過該漏洞遠距執行用戶電腦上的程式，即使用戶沒有做出任何觸發動作。這項漏洞也可以讓駭客攻擊使用同一網路的多台電腦，對企業用戶或公共場合來說危害甚鉅。CVSS（通用漏洞評分系統）亦將此漏洞評為最高等級的10分。

安全部指出，雖然微軟早在3月就推送系統更新，以填補這項漏洞，但還是有許多用戶尚未更新，駭客即是瞄準了這些人。因此，微軟用戶應盡快將電腦系統升級到最新版本，並開啟防火牆阻擋網路上SMB傳輸埠的連線，降低被駭風險。