上星期五的大型WannaCry勒索软件攻击相信对不少企业组织带来重大麻烦。但少数人,尤其记得Slammer和Conficker攻击的,应会对今此攻击的火速蔓延感到惊讶。
其他信息:
• 勒索软体 Wanna Decrypter 2.0攻击: 您要知道的事宜(英文)
• Sophos 就WannaCry攻击致客户的文章: Knowledge Base Article (KBA) on WannaCry attack, for Sophos customers
这些病毒传染 - 在今天标准来说算是老旧的 - 通过泄漏的微软软件漏洞传播。WannaCry以同一方式传播。在每个案例中,微软都已经事先推出这些漏洞的补丁。
对一些人来说,这个重要教训继续被遗忘: 企业必须大力监测补丁更新并马上安装最新补丁。
似曾相识
WannaCry - 都称为Wanna Decrypter 2.0,WCry,WanaCrypt和WanaCrypt0r - 利用Window的漏洞进行攻击,而它已在3月份推出补丁。这漏洞在Windows Server Message Block (SMB) service,用来让Windows电脑在本地网络共享档案和打印机。微软早已在MS17-010公告针对这漏洞的问题。
Sophos Home
它打击全球各大小机构,包括英国国家医疗服务体系 (National Health Service, NHS)。分析指这攻击利用了NSA代码发动攻击,由称为Shadow Brokers的一群黑客所泄漏。
有些人很大可能遭受感染,因为他们并没有安装MS17-010补丁。但其他人都被波及,因他们使用老旧而没有支援的Windows版本,因此从未收到这安全更新。有见及此,微软采取不常见的行动,让为所有人提供自订支援平台 (比如Windows XP)的安全更新。这软件巨擘表示:
我们知道我们一些客户正使用不能再取得主流支援的Windows版本,这意味着这些户不会收到三月份推出的安全更新(Security Updates)。由於这可能影响到客户和其业务,我们决定推出安全更新至只限於客户支持平台丶Windows XP丶Windows 8和Windows Server 2003, 可於此下载。
Conficker是一个广泛传染的网络蠕虫,在2008年起传播到以百万计的没安装补丁的PC电脑。SophosLabs在2008年11月21日发现到这个病毒测试服务Virus Total侦测的首个样本。它利用Windows Server 服务的缓冲溢出漏洞传播开去。微软早已在2008年10月23日,在Conficker开始攻击前29日推出这漏洞补丁。
Slammer在2013年初开始攻击,利用了微软早已在6个月前发出补丁的SQL Server 资料库软件的漏洞。很多受影响的电脑都是企业SQL伺服器,其可让蠕虫快速侵袭CPU资源和网络连接。因此当这事件出现在报章头条并不夸张:
当然今次的WannaCry攻击真的有其独特之处。一般勒索软件传染在受害者点击恶意电邮附件或超链结之後立即引发。今次攻击恶意软件能利用远程代码执行 (RCE) 的漏洞,用户无需做任何事情都让其感染未曾补丁的电脑。攻击者使用泄漏的NSA代码很可能与这有关,然而这攻击还有很多事情有待研究。
为何一些人不立即安装补丁
不论如何,事实是情况变得更差因为可用的补丁从未安装。
一些人会批评企业安装最新补丁或采用最新Windows版本的速度慢。受害者尤其容易被责怪。但安装补丁慢或使用过期Windows版本并不常常是懒惰或懈怠的结果。
一直以来,IT服务商扣起一些补丁因要改进其系统的相容性,否则有安装了会损害其他程式的补丁的风险。同时,一些机车一直使用老旧版的Windows因为:
- 缺乏财务和人力资源更新。
- 其老旧系统不够先进以采用如Windows 10。
还有其他理由,而这两大挑战。
Common-mode failure共模失败
然而Sophos 首席技术官Joe Levy表示,这些补丁安装不应视为选项,不论公司的补丁政策 - 就如当漏洞堕入共模失败的类别。
安全专家Dan Geer在2014年Heartbleed被发现後在其专栏中指出这问题 (Levy表示他经常向他人推介这文章)。除了其他东西,Geer写道:
只有单一文化会让互联网尺度的失败发生; 其他失败只是本地悲剧。对於政策制定者而言,单一文化会相干的唯一方面,就是大型开发利用的必备条件就是单一文化。用统计学的语言说,这就是”共模失败”,由低估了的互相倚赖所引致。
美国国家标准和科技研究所 (NIST) 这样定义共模失败:
一个共模失败由单一过失 (或一组过失)所引起。电脑系统如依赖单一源头的电力丶空调或I/O,易於受共模失败模式损害。更隐密的共模失败来源是设计缺陷,引起同一软件程序的多馀拷贝在同一情况下失败。
这如何应用用星期五的大事件? Levy解释道:
当一个失败(和其伴随的补丁) 牵涉到常见的元件如SMB (在每一个Windows系统存在) 和远程代码执行相遇,这组合应超越政策限制。
换句话说,在这些Windows SMB漏洞案例的情况下,补丁应不被视作选项,不论你的补丁政策(或非政策)。扣起这些补丁的危险就是如WannaCry的攻击可轻易席卷全球。
更多防御措施
机构的最佳作法是保持补丁更新,和使用最新的Windows版本。
可能会有更好的作法,但目前未有。
同时,如上所述,Sophos会继续就最新情况更新其 Knowledge Base Article (KBA) 技术知识文章,让客户参阅。并请阅览之前的附加防御措施文章。
原文: