泄露的SMB利用使恶意软件强大,警告气体
根据安全公司气氛的研究人员,Microsoft的服务器块(SMB)协议的漏洞是恶意软件作家的“无与伦比的成功”。
2017年4月,影子经纪人黑客集团泄露了一个由美国国家安全局(NSA)偷走的工具的阿森纳。
这些工具中的第一个引起突出的工具是EterEnalBlue,一个SMB协议利用,这是2017年5月Wandacry Global Ransomware攻击的关键组成部分。
ExternalBlue和其他泄露的SMB漏洞 - Eternalromance,Eternalsynergy和Eternalchampion - 然后出现在攻击中,如Petya / Notpetya,比特币矿工Adylkuzz和Eternalrocks蠕虫。
它们也被纳入了渗透测试工具,例如Metasploit,这些工具通常被网络犯罪分子滥用,以开发和测试恶意软件。
在新发布的报告中,卡巴斯基实验室的安全研究人员称,这些漏洞成为2017年第二季度网络威胁景观中的游戏。
本公司声称从4月到六月的攻击已堵塞了超过500万次攻击,利用这些漏洞利用了未被划分的软件。
根据气体的说法,SMB漏洞已经证明是最有用的,因为它们允许在受害机上进行任意远程码执行。
“通过扩展,可以允许攻击者可以看到有关机器本身,其用户或其周围网络环境的潜在敏感信息,”他们在博客文章中写道。“这对用户和任何攻击者的圣杯都不糟糕。”
自泄漏以来,据报道恶意软件通过嵌入自己的利用或简单地将工具包装为嵌入式资源来以蠕虫的方式传播。
“遗憾的是,研究人员说,遗憾的是,利用这些工具利用这些工具并获得未经授权的访问权限,”。
研究人员提供了对每个漏洞利用的详细分析,它们使用的ShellCode以及每个都安装的exploScode以及每个人都安装了帮助组织,以帮助组织确定他们易受攻击的程度,并有助于告知其关于减轻这些漏洞的决策。
研究人员警告,ETERERBLUE允许攻击者使用SMBV2.1执行Windows 7计算机上的远程代码来执行堆喷涂和触发shellcode,但指出,由于从Windows 8的更改,它只在Windows 7或早期版本上工作。
Eternalromance利用处理SMBV1事务的过程,该事务允许它瞄准Windows 7,XP和Vista以及Windows Server 2003和2008。
ETERNALSYNERGY使用“数据包型混淆漏洞”,而ETERERALCHAMPION利用事务处理中的竞争条件,其允许将数据添加到已安排执行的完整事务中。
目前,SMB利用的所有实现都使用DoublePulsar后台,其包括Shellcode的多个阶段,这些阶段在博客文章中详述。
圆环建议组织安装Patch MS17-010:Windows SMB服务器的安全更新:2017年3月14日。
“要发现潜在的开发检查,请查找包含IPC $ TreeID路径的任何PeeknamEdPipe事务,其中FID设置为0x0000,”该气体研究人员说。
“任何机器返回status_insuff_server_resources(0xc0000205)很脆弱。”
根据他们的分析,所有四个SMB的漏洞都是“非常精心制作,提供全面的Windows平台和共同的后门接口”。
他们补充说:“Doublepulsar Backdoor也已经精心设计,开发和测试,证明在野外非常可靠。”
研究人员指出,由于未被斑驳的弱势系统的高曝光,漏洞利用,易用性,可靠/强大的性质和近的保证成功的模块化构成导致了恶意软件作者在其代码中使用漏洞,从而导致了几种广泛的全球爆发。
遵循Wandacry和Petya / NotPetya Malware活动,Microsoft已发布其Windows操作系统的先前不受支持/终生版本的软件更新。
“然而,即使提高了提高意识和补丁的可用性,漏洞即使很快就会消失,毫无疑问是未来的恶意软件成功雇用的,以及在任何笔测试人的阿森纳留下珍贵的武器未来,“研究人员警告说。