按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

Windows 被發現全新漏洞,利用此漏洞的惡意程式感染率高,請立即進行更新

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:109-05-20
  • 點閱次數:3605
Windows 被發現全新漏洞,利用此漏洞的惡意程式感染率高,請立即進行更新 TWCERTR/CC

這個漏洞存在於 Microsoft Server Message Block (SMB) 協定 3.1.1 版本,亦稱為 SMBv3,用來在內部網路與 Internet 上的電腦、印表機、其他連網裝置間進行各種資料交換與分享。
 
CVE-2020-0796 這個資安漏洞,就是透過發送特殊封包給 SMBv3,即可在 SMB Server 或其他 SMB Client 上執行任意程式碼。該漏洞影響1903 / 1909版本的Windows 10和Windows Server。
 
在思科資安團隊先前發表過的研究報告中,用了「Wormable」這個字來形容本漏洞,意思是指透過這個漏洞進行的駭侵攻擊,可以直接在網路間感染一台又一台的未修補裝置,不需要和任何實際的管理者或使用者互動。
 
在這份被撤回的文件中也說,尚未進行安全更新的用戶,最好事先在防火牆和其他設備上關閉 SMBv3 使用的 TCP 通訊埠 445,以防利用這個漏洞的惡意軟體在網路上到處流竄。
 
據微軟表示,目前還沒有觀察到利用這個漏洞進行的大規模駭侵攻擊事件。用戶可先關閉 SMBv3 壓縮,同時在企業的防火牆上封鎖 TCP 連接埠 445;但這只能防範來自外網的攻擊,如果內網已有電腦感染,此法無效。
 

  • 建議措施

由於此漏洞會產生加密勒索蠕蟲流竄,GitHub等網站也逐漸釋出PoC範例程式碼,駭客可能會將此範例程式碼改為蠕蟲化的加密勒索惡意程式,攻擊國內企業與政府電腦等IoT設備,造成資安威脅。因此根據中華民國網路封包分析協會的建議,採取以下防護措施:

1、為阻斷外部網路的網路蠕蟲攻擊,請關閉網路防火牆TCP-445的通訊埠。另外為避免用戶端感染SMBv3蠕蟲的電腦,透過VPN攻擊內部電腦,請暫時禁止用戶端在VPN使用TCP-445。
2、關閉會攜帶外出並使用外部網路公務筆電的有限及無線網路Microsoft Network 功能支援,停用Netbios Over TCP/IP功能。
3、立即進行安全性更新,以修補資安漏洞。

  • CVE編號:CVE-2020-0796
  • 影響版本:Windows 10(版本 1903、1909)、Windows Server(1903、1909)
  • 解決方案:更新至最新版本
回頁首