人類總要重蹈覆轍: WannaCry的肆虐可歸功於人們忘記Slammer和Conficker攻擊的教訓(xùn)
上星期五的大型WannaCry勒索軟件攻擊相信對(duì)不少企業(yè)組織帶來重大麻煩。但少數(shù)人,尤其記得Slammer和Conficker攻擊的,應(yīng)會(huì)對(duì)今此攻擊的火速蔓延感到驚訝。
其他信息:
• 勒索軟體 Wanna Decrypter 2.0攻擊: 您要知道的事宜(英文)
• Sophos 就WannaCry攻擊致客戶的文章: Knowledge Base Article (KBA) on WannaCry attack, for Sophos customers
這些病毒傳染 - 在今天標(biāo)準(zhǔn)來說算是老舊的 - 通過泄漏的微軟軟件漏洞傳播。WannaCry以同一方式傳播。在每個(gè)案例中,微軟都已經(jīng)事先推出這些漏洞的補(bǔ)丁。
對(duì)一些人來說,這個(gè)重要教訓(xùn)繼續(xù)被遺忘: 企業(yè)必須大力監(jiān)測(cè)補(bǔ)丁更新并馬上安裝最新補(bǔ)丁。
似曾相識(shí)
WannaCry - 都稱為Wanna Decrypter 2.0,WCry,WanaCrypt和WanaCrypt0r - 利用Window的漏洞進(jìn)行攻擊,而它已在3月份推出補(bǔ)丁。這漏洞在Windows Server Message Block (SMB) service,用來讓W(xué)indows電腦在本地網(wǎng)絡(luò)共享檔案和打印機(jī)。微軟早已在MS17-010公告針對(duì)這漏洞的問題。
Sophos Home
它打擊全球各大小機(jī)構(gòu),包括英國國家醫(yī)療服務(wù)體系 (National Health Service, NHS)。分析指這攻擊利用了NSA代碼發(fā)動(dòng)攻擊,由稱為Shadow Brokers的一群黑客所泄漏。
有些人很大可能遭受感染,因?yàn)樗麄儾]有安裝MS17-010補(bǔ)丁。但其他人都被波及,因他們使用老舊而沒有支援的Windows版本,因此從未收到這安全更新。有見及此,微軟采取不常見的行動(dòng),讓為所有人提供自訂支援平臺(tái) (比如Windows XP)的安全更新。這軟件巨擘表示:
我們知道我們一些客戶正使用不能再取得主流支援的Windows版本,這意味著這些戶不會(huì)收到三月份推出的安全更新(Security Updates)。由於這可能影響到客戶和其業(yè)務(wù),我們決定推出安全更新至只限於客戶支持平臺(tái)丶Windows XP丶Windows 8和Windows Server 2003, 可於此下載。
Conficker是一個(gè)廣泛傳染的網(wǎng)絡(luò)蠕蟲,在2008年起傳播到以百萬計(jì)的沒安裝補(bǔ)丁的PC電腦。SophosLabs在2008年11月21日發(fā)現(xiàn)到這個(gè)病毒測(cè)試服務(wù)Virus Total偵測(cè)的首個(gè)樣本。它利用Windows Server 服務(wù)的緩沖溢出漏洞傳播開去。微軟早已在2008年10月23日,在Conficker開始攻擊前29日推出這漏洞補(bǔ)丁。
Slammer在2013年初開始攻擊,利用了微軟早已在6個(gè)月前發(fā)出補(bǔ)丁的SQL Server 資料庫軟件的漏洞。很多受影響的電腦都是企業(yè)SQL伺服器,其可讓蠕蟲快速侵襲CPU資源和網(wǎng)絡(luò)連接。因此當(dāng)這事件出現(xiàn)在報(bào)章頭條并不夸張:
當(dāng)然今次的WannaCry攻擊真的有其獨(dú)特之處。一般勒索軟件傳染在受害者點(diǎn)擊惡意電郵附件或超鏈結(jié)之後立即引發(fā)。今次攻擊惡意軟件能利用遠(yuǎn)程代碼執(zhí)行 (RCE) 的漏洞,用戶無需做任何事情都讓其感染未曾補(bǔ)丁的電腦。攻擊者使用泄漏的NSA代碼很可能與這有關(guān),然而這攻擊還有很多事情有待研究。
為何一些人不立即安裝補(bǔ)丁
不論如何,事實(shí)是情況變得更差因?yàn)榭捎玫难a(bǔ)丁從未安裝。
一些人會(huì)批評(píng)企業(yè)安裝最新補(bǔ)丁或采用最新Windows版本的速度慢。受害者尤其容易被責(zé)怪。但安裝補(bǔ)丁慢或使用過期Windows版本并不常常是懶惰或懈怠的結(jié)果。
一直以來,IT服務(wù)商扣起一些補(bǔ)丁因要改進(jìn)其系統(tǒng)的相容性,否則有安裝了會(huì)損害其他程式的補(bǔ)丁的風(fēng)險(xiǎn)。同時(shí),一些機(jī)車一直使用老舊版的Windows因?yàn)?
- 缺乏財(cái)務(wù)和人力資源更新。
- 其老舊系統(tǒng)不夠先進(jìn)以采用如Windows 10。
還有其他理由,而這兩大挑戰(zhàn)。
Common-mode failure共模失敗
然而Sophos 首席技術(shù)官Joe Levy表示,這些補(bǔ)丁安裝不應(yīng)視為選項(xiàng),不論公司的補(bǔ)丁政策 - 就如當(dāng)漏洞墮入共模失敗的類別。
安全專家Dan Geer在2014年Heartbleed被發(fā)現(xiàn)後在其專欄中指出這問題 (Levy表示他經(jīng)常向他人推介這文章)。除了其他東西,Geer寫道:
只有單一文化會(huì)讓互聯(lián)網(wǎng)尺度的失敗發(fā)生; 其他失敗只是本地悲劇。對(duì)於政策制定者而言,單一文化會(huì)相干的唯一方面,就是大型開發(fā)利用的必備條件就是單一文化。用統(tǒng)計(jì)學(xué)的語言說,這就是”共模失敗”,由低估了的互相倚賴所引致。
美國國家標(biāo)準(zhǔn)和科技研究所 (NIST) 這樣定義共模失敗:
一個(gè)共模失敗由單一過失 (或一組過失)所引起。電腦系統(tǒng)如依賴單一源頭的電力丶空調(diào)或I/O,易於受共模失敗模式損害。更隱密的共模失敗來源是設(shè)計(jì)缺陷,引起同一軟件程序的多馀拷貝在同一情況下失敗。
這如何應(yīng)用用星期五的大事件? Levy解釋道:
當(dāng)一個(gè)失敗(和其伴隨的補(bǔ)丁) 牽涉到常見的元件如SMB (在每一個(gè)Windows系統(tǒng)存在) 和遠(yuǎn)程代碼執(zhí)行相遇,這組合應(yīng)超越政策限制。
換句話說,在這些Windows SMB漏洞案例的情況下,補(bǔ)丁應(yīng)不被視作選項(xiàng),不論你的補(bǔ)丁政策(或非政策)。扣起這些補(bǔ)丁的危險(xiǎn)就是如WannaCry的攻擊可輕易席卷全球。
更多防御措施
機(jī)構(gòu)的最佳作法是保持補(bǔ)丁更新,和使用最新的Windows版本。
可能會(huì)有更好的作法,但目前未有。
同時(shí),如上所述,Sophos會(huì)繼續(xù)就最新情況更新其 Knowledge Base Article (KBA) 技術(shù)知識(shí)文章,讓客戶參閱。并請(qǐng)閱覽之前的附加防御措施文章。
原文:
