百度:中国3000域名受BadLock0day漏洞影响
一月一次的微软补丁日如期而至。在这次微软发布的补丁中,包含了一个严重的远程漏洞—— BadLock漏洞,官网早前声明其影响范围是对Windows 系统和 Samba 服务一律全版本通杀,其危害程度可想而知。地下黑产早就对漏洞和影响的用户虎视眈眈。
针对BadLock 漏洞,百度安全第一时间启动了0Day防御计划,并且对漏洞进行了分析。凭借在大数据安全方面的积累和能力,百度全网威胁感知系统迅速扫描全球的影响范围,与国内受影响用户取得联系,协助用户尽早进行安全检查和防御措施。
一大波僵尸来袭
令人大跌眼镜的是,本次漏洞公布后并不是人们预期中的单独一两个漏洞,而是一个漏洞族,总共9个漏洞同时发布,这可谓是一大波僵尸来袭!
为什么这次漏洞会出先这么多漏洞?为此记者采访了百度安全的网址安全中心负责人耿志峰。他解释说:之所以会有这么多漏洞,是因为Samba实现了多种协议和服务,如SAMR、LSA、DCE-RPC、NTLMSSP等,而这些漏洞都是出现在这些协议和服务上的,最终会导致两种危害:中间人攻击和拒绝服务,并衍生出提权、嗅探、流量劫持等漏洞危害。
这些漏洞影响的版本范围也各有不同,横跨了从Samba3.0.0到Samba4.4.0。虽然官方没再宣称 全版本通杀,而是给出了多个具体的版本信息,并声明更早的版本没有进行评估,不确定其危害。
这次爆发的 BadLock 漏洞,为什么备受关注?漏洞危害到底多严重?对此,耿志峰告诉记者:Samba 支持SMB/CIFS是一种网络传输协议,用户使用安装了samba服务的Unix类系统,就可以像Windows一样共享自己的文件夹、打印机等资源,并访问Windows系统上的资源。这次 BadLock 漏洞之所以非常严重,是因为无论对于 Windows 系统,还是对Samba 服务,几乎是全版本通杀!而漏洞危害等级又属于严重级别。所以可以断定的是,这个漏洞将对整个互联网造成很大的冲击。
令人担忧的是,在这些开放 SMB 服务的系统中,94%的 Samba 版本集中分布在4.1(不含)以下版本,4.1版本占6%。
这个数据意味着什么?从百度安全的数据来看,耿志峰表现出担忧:Samba4.1以下的版本,官方已经不再提供技术支持,也不会再提供安全补丁。这就是说,即便是微软发布漏洞补丁,目前在使用 Samba4.1版以下的用户,依然处在危险之中。
近3000 域名可能被黑
BadLock漏洞爆发之后,百度安全立即启动了应急响应,百度网址安全中心对全网安全状况进行了扫描。扫描结果显示,目前互联网上存在开放SMB服务的主机数量有近8万个。其中大部分为Unix类操作系统,少量为Windows操作系统。在非Windows类的系统中还发现了部分个人移动设备,如MacOS、iOS、Symbian等。
从中国的角度看,百度安全数据显示,这次Samba 0day漏洞对中国的影响(不包含港澳台地区)在全球排名第18位,共计1061主机、接近3000个域名受到漏洞波及。一旦这些域名没有及时更新相关服务,就很可能遭受黑客攻击。
在补丁发布与用户没有升级之前的这段窗口期,黑客仍然有机可乘。耿志峰告诉记者:攻击者可在第一时间通过diff代码(比较两个文本文件的差异,是Unix 系统代码版本管理的基本工具)等方式快速分析出漏洞机理,没有及时升级和打补丁的用户届时将面临极大风险和安全隐患。
已经为200 多用户提供支持
虽然目前还没有任何漏洞PoC被透露出来,但有消息称,目前业界已经开始分析源码中的相关文件,而黑产自然不会放过这个大好的机会。
据悉,百度安全已经启动了针对全网用户的0Day防御计划,并且与200多受影响的用户取得联系,帮助他们排除风险,确保业务安全性。百度安全提示,用户应尽快升级版本和修复补丁。
为了帮助用户及时检测自身业务系统的安全性,百度安全的0day 漏洞报告平台专门推出了检测页面(http://0day.baidu.com/index.php?samba),广大站长和企业用户可以登录网站来检测自己的网站是否受到影响。
此外,百度安全还专门开通了400客户服务专线,为受影响的用户提供安全服务支持。用户可以拨打400-805-4999,向百度安全寻求专业的安全指导和帮助。