上星期五的大型WannaCry勒索軟件攻擊相信對不少企業(yè)組織帶來重大麻煩。但少數(shù)人，尤其記得Slammer和Conficker攻擊的，應(yīng)會對今此攻擊的火速蔓延感到驚訝。

[[191789]]

其他信息:

• 勒索軟體 Wanna Decrypter 2.0攻擊: 您要知道的事宜(英文)

• Sophos 就WannaCry攻擊致客戶的文章: Knowledge Base Article (KBA) on WannaCry attack, for Sophos customers

這些病毒傳染 - 在今天標(biāo)準(zhǔn)來說算是老舊的 - 通過泄漏的微軟軟件漏洞傳播。WannaCry以同一方式傳播。在每個案例中，微軟都已經(jīng)事先推出這些漏洞的補丁。

對一些人來說，這個重要教訓(xùn)繼續(xù)被遺忘: 企業(yè)必須大力監(jiān)測補丁更新并馬上安裝最新補丁。

似曾相識

WannaCry - 都稱為Wanna Decrypter 2.0，WCry，WanaCrypt和WanaCrypt0r - 利用Window的漏洞進(jìn)行攻擊，而它已在3月份推出補丁。這漏洞在Windows Server Message Block (SMB) service，用來讓W(xué)indows電腦在本地網(wǎng)絡(luò)共享檔案和打印機。微軟早已在MS17-010公告針對這漏洞的問題。

Sophos Home

它打擊全球各大小機構(gòu)，包括英國國家醫(yī)療服務(wù)體系 (National Health Service, NHS)。分析指這攻擊利用了NSA代碼發(fā)動攻擊，由稱為Shadow Brokers的一群黑客所泄漏。

有些人很大可能遭受感染，因為他們并沒有安裝MS17-010補丁。但其他人都被波及，因他們使用老舊而沒有支援的Windows版本，因此從未收到這安全更新。有見及此，微軟采取不常見的行動，讓為所有人提供自訂支援平臺 (比如Windows XP)的安全更新。這軟件巨擘表示:

我們知道我們一些客戶正使用不能再取得主流支援的Windows版本，這意味著這些戶不會收到三月份推出的安全更新(Security Updates)。由於這可能影響到客戶和其業(yè)務(wù)，我們決定推出安全更新至只限於客戶支持平臺丶Windows XP丶Windows 8和Windows Server 2003, 可於此下載。

Conficker是一個廣泛傳染的網(wǎng)絡(luò)蠕蟲，在2008年起傳播到以百萬計的沒安裝補丁的PC電腦。SophosLabs在2008年11月21日發(fā)現(xiàn)到這個病毒測試服務(wù)Virus Total偵測的首個樣本。它利用Windows Server 服務(wù)的緩沖溢出漏洞傳播開去。微軟早已在2008年10月23日，在Conficker開始攻擊前29日推出這漏洞補丁。

Slammer在2013年初開始攻擊，利用了微軟早已在6個月前發(fā)出補丁的SQL Server 資料庫軟件的漏洞。很多受影響的電腦都是企業(yè)SQL伺服器，其可讓蠕蟲快速侵襲CPU資源和網(wǎng)絡(luò)連接。因此當(dāng)這事件出現(xiàn)在報章頭條并不夸張：

當(dāng)然今次的WannaCry攻擊真的有其獨特之處。一般勒索軟件傳染在受害者點擊惡意電郵附件或超鏈結(jié)之後立即引發(fā)。今次攻擊惡意軟件能利用遠(yuǎn)程代碼執(zhí)行 (RCE) 的漏洞，用戶無需做任何事情都讓其感染未曾補丁的電腦。攻擊者使用泄漏的NSA代碼很可能與這有關(guān)，然而這攻擊還有很多事情有待研究。

為何一些人不立即安裝補丁

不論如何，事實是情況變得更差因為可用的補丁從未安裝。

一些人會批評企業(yè)安裝最新補丁或采用最新Windows版本的速度慢。受害者尤其容易被責(zé)怪。但安裝補丁慢或使用過期Windows版本并不常常是懶惰或懈怠的結(jié)果。

一直以來，IT服務(wù)商扣起一些補丁因要改進(jìn)其系統(tǒng)的相容性，否則有安裝了會損害其他程式的補丁的風(fēng)險。同時，一些機車一直使用老舊版的Windows因為:

• 缺乏財務(wù)和人力資源更新。
• 其老舊系統(tǒng)不夠先進(jìn)以采用如Windows 10。

還有其他理由，而這兩大挑戰(zhàn)。

Common-mode failure共模失敗

然而Sophos 首席技術(shù)官Joe Levy表示，這些補丁安裝不應(yīng)視為選項，不論公司的補丁政策 - 就如當(dāng)漏洞墮入共模失敗的類別。

安全專家Dan Geer在2014年Heartbleed被發(fā)現(xiàn)後在其專欄中指出這問題 (Levy表示他經(jīng)常向他人推介這文章)。除了其他東西，Geer寫道:

只有單一文化會讓互聯(lián)網(wǎng)尺度的失敗發(fā)生; 其他失敗只是本地悲劇。對於政策制定者而言，單一文化會相干的唯一方面，就是大型開發(fā)利用的必備條件就是單一文化。用統(tǒng)計學(xué)的語言說，這就是”共模失敗”，由低估了的互相倚賴所引致。

美國國家標(biāo)準(zhǔn)和科技研究所 (NIST) 這樣定義共模失敗:

一個共模失敗由單一過失 (或一組過失)所引起。電腦系統(tǒng)如依賴單一源頭的電力丶空調(diào)或I/O，易於受共模失敗模式損害。更隱密的共模失敗來源是設(shè)計缺陷，引起同一軟件程序的多馀拷貝在同一情況下失敗。

這如何應(yīng)用用星期五的大事件? Levy解釋道:

當(dāng)一個失敗(和其伴隨的補丁) 牽涉到常見的元件如SMB (在每一個Windows系統(tǒng)存在) 和遠(yuǎn)程代碼執(zhí)行相遇，這組合應(yīng)超越政策限制。

換句話說，在這些Windows SMB漏洞案例的情況下，補丁應(yīng)不被視作選項，不論你的補丁政策(或非政策)?？燮疬@些補丁的危險就是如WannaCry的攻擊可輕易席卷全球。

更多防御措施

機構(gòu)的最佳作法是保持補丁更新，和使用最新的Windows版本。

可能會有更好的作法，但目前未有。

同時，如上所述，Sophos會繼續(xù)就最新情況更新其 Knowledge Base Article (KBA) 技術(shù)知識文章，讓客戶參閱。并請閱覽之前的附加防御措施文章。

原文:

https://nakedsecurity.sophos.com/2017/05/14/wannacry-benefits-from-unlearned-lessons-of-slammer-conficker/