漏洞說明:
2017/5/12加密勒索軟體WannaCry(WanaCrypt0r 2.0)的新型變種勒索軟體,正利用Windows漏洞(MS17-010漏洞)肆虐,受感染的電腦將會有大量檔案被加密,並要求高價比特幣贖金,且已陸續出現變種軟體情況,包含取消WannaCry 1.0版內建Kill Switch停止傳播感染之設計,使其感染能力更強。因此請立即更新作業系統與防毒軟體,並注意平時資料備份作業。
CVE編號:
可能風險:
遠端攻擊者可發送蓄意製作之封包至Microsoft Server Message Block 1.0(SMBv1)服務,藉此導致伺服器資訊洩漏,並可於目標伺服器上執行任意程式碼。WannaCry勒索軟體具備主動利用此漏洞感染受駭主機之能力,有別於以往勒索軟體需受駭者主動執行之情況,只要存在此漏洞之Windows主機,並且無其他阻擋防護機制下,便將受到嚴重危害。
影響平台:
Windows XP
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012 和 Windows Server 2012 R2
Windows Server 2016
修補方式:
1.WannaCry勒索軟體利用微軟之重大漏洞進行攻擊,建議各機關儘速檢查所用之電腦主機是否已完成此次漏洞之相關更新,修補程式下載網址:
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
2.針對此次重大威脅,微軟亦額外針對已超過維護週期之作業系統(例如Windows XP、Windows Vista、Windows 8及Windows Server 2003等)釋出修補程式,下載網址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
緩解方式:
1.阻擋SMBv1服務:
建議檢視機關主要防火牆是否已確實阻擋外界對網路芳鄰之通訊埠,包含TCP 139與445,以阻擋惡意軟體利用此漏洞進行攻擊之機會。
2.評估套用GCB設定:
建議評估套用國家資通安全研究院網站公告之GCB設定,以防範駭客利用此漏洞進行攻擊。
在原生Windows環境下,預設啟用自動更新與防火牆,自動更新會強制下載更新與排程安裝;而防火牆的部分則會限制回應查詢,並封鎖輸入連線。因此,在套用原生之Windows GPO項目下,將可防範WannaCry與針對MS17-010漏洞之攻擊。惟以下情況則無法保證防護效果:
(1)若機關開啟例外管理項目,並將關閉防火牆設定改採用防毒軟體所搭配之防火牆工具,且未確實關閉網路芳鄰所使用之連接埠時,則無法保證防護效果。
(2)若機關開啟例外管理項目,並關閉自動更新或改由WSUS派送更新,且WSUS未能成功或確實派送更新項目至使用者電腦時,則無法保證防護效果。
3.評估關閉SMBv1服務:
因SMBv1服務已為近30年之服務,使用之環境已不多,並且已有新版之SMB服務,例如SMBv2與SMBv3等。若評估後不需使用此服務,可考慮關閉SMBv1,參考網址:關閉SMB服務說明。
4.勒索軟體感染應變:
如不幸受到感染,請立即拔除受駭電腦網路連線與外接儲存裝置,並關閉無線網路。建議於清除惡意軟體前不要開啟任何檔案,或變更檔案存放位置。惟惡意軟體除利用漏洞主動攻擊外,亦可能透過欺騙使用者執行方式入侵,請謹慎留意,勿點選來路不明之網頁連結或執行不明之可疑程式。