北京時間4月13日凌晨5:00,一月一次的微軟補丁日如期而至。在這次微軟發布的補丁中,包含了一個嚴重的遠程漏洞—— BadLock漏洞,官網早前聲明其影響范圍是“對Windows 系統和 Samba 服務一律全版本通殺”,其危害程度可想而知。地下黑產早就對漏洞和影響的用戶虎視眈眈。
針對BadLock 漏洞,百度安全第一時間啟動了“0Day防御計劃”,并且對漏洞進行了分析。憑借在大數據安全方面的積累和能力,百度全網威脅感知系統迅速掃描全球的影響范圍,與國內受影響用戶取得聯系,協助用戶盡早進行安全檢查和防御措施。
“ 一大波僵尸來襲”
令人大跌眼鏡的是,本次漏洞公布后并不是人們預期中的單獨一兩個漏洞,而是一個漏洞族,總共9個漏洞同時發布,這可謂是“一大波僵尸來襲”!
為什么這次漏洞會出先這么多漏洞?為此記者采訪了百度安全的網址安全中心負責人耿志峰。他解釋說:“之所以會有這么多漏洞,是因為Samba實現了多種協議和服務,如SAMR、LSA、DCE-RPC、NTLMSSP等,而這些漏洞都是出現在這些協議和服務上的,最終會導致兩種危害:中間人攻擊和拒絕服務,并衍生出提權、嗅探、流量劫持等漏洞危害。
這些漏洞影響的版本范圍也各有不同,橫跨了從Samba3.0.0到Samba4.4.0。雖然官方沒再宣稱 “全版本通殺”,而是給出了多個具體的版本信息,并聲明更早的版本沒有進行評估,不確定其危害。
這次爆發的 BadLock 漏洞,為什么備受關注?漏洞危害到底多嚴重?對此,耿志峰告訴記者:“Samba 支持SMB/CIFS是一種網絡傳輸協議,用戶使用安裝了samba服務的Unix類系統,就可以像Windows一樣共享自己的文件夾、打印機等資源,并訪問Windows系統上的資源。這次 BadLock 漏洞之所以非常嚴重,是因為無論對于 Windows 系統,還是對Samba 服務,幾乎是全版本通殺!而漏洞危害等級又屬于嚴重級別。所以可以斷定的是,這個漏洞將對整個互聯網造成很大的沖擊。”
令人擔憂的是,在這些開放 SMB 服務的系統中,94%的 Samba 版本集中分布在4.1(不含)以下版本,4.1版本占6%。
這個數據意味著什么?從百度安全的數據來看,耿志峰表現出擔憂:“Samba4.1以下的版本,官方已經不再提供技術支持,也不會再提供安全補丁。這就是說,即便是微軟發布漏洞補丁,目前在使用 Samba4.1版以下的用戶,依然處在危險之中。”
近3000 域名可能被黑
BadLock漏洞爆發之后,百度安全立即啟動了應急響應,百度網址安全中心對全網安全狀況進行了掃描。掃描結果顯示,目前互聯網上存在開放SMB服務的主機數量有近8萬個。其中大部分為Unix類操作系統,少量為Windows操作系統。在非Windows類的系統中還發現了部分個人移動設備,如MacOS、iOS、Symbian等。
從中國的角度看,百度安全數據顯示,這次Samba 0day漏洞對中國的影響(不包含港澳臺地區)在全球排名第18位,共計1061主機、接近3000個域名受到漏洞波及。一旦這些域名沒有及時更新相關服務,就很可能遭受黑客攻擊。
在補丁發布與用戶沒有升級之前的這段窗口期,黑客仍然有機可乘。耿志峰告訴記者:“攻擊者可在第一時間通過diff代碼(比較兩個文本文件的差異,是Unix 系統代碼版本管理的基本工具)等方式快速分析出漏洞機理,沒有及時升級和打補丁的用戶屆時將面臨極大風險和安全隱患。”
已經為200 多用戶提供支持
雖然目前還沒有任何漏洞PoC被透露出來,但有消息稱,目前業界已經開始分析源碼中的相關文件,而黑產自然不會放過這個大好的機會。
據悉,百度安全已經啟動了針對全網用戶的0Day防御計劃,并且與200多受影響的用戶取得聯系,幫助他們排除風險,確保業務安全性。百度安全提示,用戶應盡快升級版本和修復補丁。
為了幫助用戶及時檢測自身業務系統的安全性,百度安全的0day 漏洞報告平臺專門推出了檢測頁面(http://0day.baidu.com/index.php?samba),廣大站長和企業用戶可以登錄網站來檢測自己的網站是否受到影響。
此外,百度安全還專門開通了400客戶服務專線,為受影響的用戶提供安全服務支持。用戶可以撥打400-805-4999,向百度安全尋求專業的安全指導和幫助。
(新聞稿 2016-04-13)