专家透露,在最终被发现和修补之前,一个比 EternalBlue 更严重的漏洞在 Windows 中存在了一段时间。
对于那些记忆力较差的人来说,EternalBlue 是 NSA 为 Windows 构建的零日漏洞,它催生了WannaCry,这可能是迄今为止出现的最具破坏性的全球勒索软件威胁。
发现该漏洞的 IBM 研究人员表示,由于它存在于更广泛的网络协议中,因此它的威力更大,使威胁参与者在进行攻击时具有更大的灵活性。
三个月的进展
这个漏洞被追踪为 CVE-2022-37958,并不是全新的漏洞,因为它是在三个月前被发现并修复的。
消息是,没有人——包括研究人员,也没有发布补丁的微软——确切地知道它到底有多危险。实际上,它允许威胁行为者无需身份验证即可运行恶意代码。此外,它是蠕虫病毒,允许威胁行为者在其他易受攻击的端点上触发自我增殖攻击的连锁反应。换句话说,利用该漏洞的恶意软件可能会像野火一样跨设备传播。
发现代码执行漏洞的 IBM 安全研究员 Valentina Palmiotti 在与Ars Technica讨论调查结果时表示,攻击者可以通过“任何经过身份验证的 Windows 应用程序协议”触发该漏洞。
“例如,该漏洞可以通过尝试连接到 SMB 共享或通过远程桌面来触发。其他一些示例包括 Internet 公开的 Microsoft IIS 服务器和启用了 Windows 身份验证的 SMTP 服务器。当然,如果不打补丁,它们也可以在内部网络上被利用。”
当微软三个月前首次修补它时,它认为该漏洞只会让威胁者从设备中获取一些敏感信息,因此将其标记为“重要”。现在,该公司修改了评级,将其标记为“严重”,严重程度得分为 8.1。
与 EternalBlue 不同,它是一个零日漏洞,让安全专家和软件制造商争先恐后地构建修复程序,这个漏洞的补丁已经发布了三个月,所以它的影响应该是有限的。