泄露的SMB利用使恶意软件强大,警告气体
Apple面临挑战,让用户升级到iPhone X.
安全公司面向股票污水策略面临诉讼
Europol和国际刑警组织重申反对网络犯罪
阿布扎比运输署使用无人机改善交通流量
高通动力的Android设备由四根生根缺陷困扰
Nutanix通过Pernixdata和Calm.io获得超复位器
一些承包商每天收入超过700英镑
爱尔兰高等法院要求欧洲法院统治欧盟 - 美国数据转移的合法性
中东CIO采访:rajiv prasad,xpandretail
面试:它中断击中外包的法律职业
部长证实普遍的信贷推出,尽管有疑虑
技能短缺上衣安全严重议程
机器学习为网络攻击提供了希望
禁用WPAD现在或让您的帐户和私人数据受到损害
AI领导人呼吁停止自主武器的发展
框使用谷歌的AI支持企业的图像识别
EE修复2G频谱以支持扩展的4G移动服务
大多数英国议会受到网络攻击的影响
松下的新型4K摄像机在低光方面做得更好
三分之二的英国企业采用了金融气
Sadiq Khan的未派遣球队在伦敦解决数字连接
铜缆死亡:英特尔转向光线,以便快速数据传输
菲亚特加入宝马的自治车平台倡议
苏格拉勒测试“世界上最快”的列车Wi-Fi服务
技术如何在海湾地区转变医疗保健
Bristol主机成功测试5G移动边缘计算
Yodlee通过上下文数据提高金融交易
阿联酋电信推动萨斯在中东采用
微软推出了它的热情
慈善群体与新移动应用程序的环境数据
Informatica CEO:'数据安全是一个未解决的问题'
Tegile推出NVME Intelliflash N系列并由WD购买
Veritas占据数据管理播放
Philip Hammond:AI将在政府中造成生产力
大数据薪水设定为2017年上升
百度来测试加利福尼亚州的自治车辆
弥撒的新法。试图提高妇女支付
天空中的覆盆子pi:如何构建这个令人敬畏的115美元飞机跟踪器
迪拜土地部门推出互动应用
HMRC承认受儿童保育网站问题影响的2,600名父母
调查显示,中小企业比以往任何时候都更容易受到网络攻击
埃森哲向苏塞克斯警方提供视频启用的正义
政府削减网络基础设施推出的成本
Box通过IBM与IBM合作开展新的继电器工作流程工具
HPE在AI上投注大量,以推动您的应用和分析
伦敦问题呼吁武器到网络安全社区
期待今年苹果'回到Mac'活动
罗马尼亚黑客Guccifer在美国监狱判处52个月
患者将通过APP访问NHS服务于2018年底
您的位置:首页 >产品 > 商业评论 >

泄露的SMB利用使恶意软件强大,警告气体

2021-07-18 17:44:08 [来源]:

根据安全公司气氛的研究人员,Microsoft的服务器块(SMB)协议的漏洞是恶意软件作家的“无与伦比的成功”。

2017年4月,影子经纪人黑客集团泄露了一个由美国国家安全局(NSA)偷走的工具的阿森纳。

这些工具中的第一个引起突出的工具是EterEnalBlue,一个SMB协议利用,这是2017年5月Wandacry Global Ransomware攻击的关键组成部分。

ExternalBlue和其他泄露的SMB漏洞 - Eternalromance,Eternalsynergy和Eternalchampion - 然后出现在攻击中,如Petya / Notpetya,比特币矿工Adylkuzz和Eternalrocks蠕虫。

它们也被纳入了渗透测试工具,例如Metasploit,这些工具通常被网络犯罪分子滥用,以开发和测试恶意软件。

在新发布的报告中,卡巴斯基实验室的安全研究人员称,这些漏洞成为2017年第二季度网络威胁景观中的游戏。

本公司声称从4月到六月的攻击已堵塞了超过500万次攻击,利用这些漏洞利用了未被划分的软件。

根据气体的说法,SMB漏洞已经证明是最有用的,因为它们允许在受害机上进行任意远程码执行。

“通过扩展,可以允许攻击者可以看到有关机器本身,其用户或其周围网络环境的潜在敏感信息,”他们在博客文章中写道。“这对用户和任何攻击者的圣杯都不糟糕。”

自泄漏以来,据报道恶意软件通过嵌入自己的利用或简单地将工具包装为嵌入式资源来以蠕虫的方式传播。

“遗憾的是,研究人员说,遗憾的是,利用这些工具利用这些工具并获得未经授权的访问权限,”。

研究人员提供了对每个漏洞利用的详细分析,它们使用的ShellCode以及每个都安装的exploScode以及每个人都安装了帮助组织,以帮助组织确定他们易受攻击的程度,并有助于告知其关于减轻这些漏洞的决策。

研究人员警告,ETERERBLUE允许攻击者使用SMBV2.1执行Windows 7计算机上的远程代码来执行堆喷涂和触发shellcode,但指出,由于从Windows 8的更改,它只在Windows 7或早期版本上工作。

Eternalromance利用处理SMBV1事务的过程,该事务允许它瞄准Windows 7,XP和Vista以及Windows Server 2003和2008。

ETERNALSYNERGY使用“数据包型混淆漏洞”,而ETERERALCHAMPION利用事务处理中的竞争条件,其允许将数据添加到已安排执行的完整事务中。

目前,SMB利用的所有实现都使用DoublePulsar后台,其包括Shellcode的多个阶段,这些阶段在博客文章中详述。

圆环建议组织安装Patch MS17-010:Windows SMB服务器的安全更新:2017年3月14日。

“要发现潜在的开发检查,请查找包含IPC $ TreeID路径的任何PeeknamEdPipe事务,其中FID设置为0x0000,”该气体研究人员说。

“任何机器返回status_insuff_server_resources(0xc0000205)很脆弱。”

根据他们的分析,所有四个SMB的漏洞都是“非常精心制作,提供全面的Windows平台和共同的后门接口”。

他们补充说:“Doublepulsar Backdoor也已经精心设计,开发和测试,证明在野外非常可靠。”

研究人员指出,由于未被斑驳的弱势系统的高曝光,漏洞利用,易用性,可靠/强大的性质和近的保证成功的模块化构成导致了恶意软件作者在其代码中使用漏洞,从而导致了几种广泛的全球爆发。

遵循Wandacry和Petya / NotPetya Malware活动,Microsoft已发布其Windows操作系统的先前不受支持/终生版本的软件更新。

“然而,即使提高了提高意识和补丁的可用性,漏洞即使很快就会消失,毫无疑问是未来的恶意软件成功雇用的,以及在任何笔测试人的阿森纳留下珍贵的武器未来,“研究人员警告说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。