近段时间来，国内一些信息安全团队陆续发出安全警报，称国内勒索病毒疫情非常严峻，政府、企业和个人用户都在被攻击之列，而系统漏洞是勒索软件攻击的主要入口。老友科技这里提醒广大计算机用户，对于关键系统漏洞必须及时打上补丁，并做相关的检查。本文说明2个高危系统漏洞的处理方法。

1. 永恒之蓝(Eternalblue)勒索病毒漏洞

永恒之蓝是指2017年5月12日起，全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

永恒之蓝(Eternalblue)漏洞的案例

• 福建某上市公司的服务器被勒索病毒Ransom/Bunnyde入侵，导致该企业核心的ERP（财务系统）数据库被加密
• 某个人网站运营者的电脑感染了勒索病毒，导致其网站大部分数据被加密，迫不得已暂时关停了网站
• 某高校学生电脑连接学校网络时，被通过校园网主机系统漏洞进入的勒索病毒感染，包括毕业论文在内的所有文件被加密

永恒之蓝(Eternalblue)漏洞的解决方案

微软已于2017年3月14日发布MS17-010补丁，修复了“永恒之蓝”攻击的系统漏洞

方法1：手动修复

1. 下载并安装Windows安全更新KB4012212(仅安全更新)或者KB4012215(月度汇总)(仅针对于Windows 7和Winsows Server 2008 R2 系统)
2. 打上补丁之后，可以使用老友科技推出的免费工具 网蛙桌面小程序 检查系统免疫情况

方法2: 可安装360安全卫士中的NSA免疫工具。

安装方法：点选“功能大全”->“数据安全”->“NSA免疫工具”->点击“添加”按钮即可。

2. CPU高危漏洞

发生背景

• 2018.1.3 国外安全研究员公开熔断（Meltdown）和幽灵（Spectre）CPU漏洞。
• 2018.1.3 微软发布CPU漏洞的安全更新补丁KB4056897
• 2018.2.13 微软发布包含修复CPU漏洞功能的2月安全补丁KB4074587
• 微软2018年1月和2月的Windows7 x64 和 Windows Server 2008 R2安全补丁中被发现存在严重漏洞(Total Meltdown)，补丁中错误地将PML4权限设定成用户级，导致任意用户态进程可对系统内核进行任意读写。

漏洞概述

• 熔断(Meltdown):越权恶意数据缓存加载(CVE-2017-5754)
• 幽灵(Spectre):绕过边界检查(CVE-2017-5753)和分支目标注入(CVE-201-5715)
• 裂谷(TotalMeltdown):国外安全研究人员在微软2018年1月和2月的Windows7 x64和Windows Server 2008 R2安全更新中发现了一个致命错误，微软开发人员错误将只限内核访问的PML4（Page Map Level 4）页表设置为用户态可访问，导致任意进程可以对内核进行任意读写

CPU漏洞的影响

• 独立式服务器：进程可能访问到其他进程的内存空间，低权限用户可能访问到本地操作系统底层的信息，内核空间。
• 云计算服务器：通过漏洞访问其他租户的内存数据，导致其他云租户的敏感信。
• 个人电脑/智能手机／智能终端设备：通过浏览器访问恶意网站，导致受害者的账号、密码、邮箱、cookie等信息泄漏。
• 攻击者可该漏洞对系统内核进行任意读写来完全控制受害者机器

CPU漏洞的解决方案

方法1：手动修复

1. 下载并安装Windows更新KB4093108(仅安全更新)或者KB4093118(月度汇总)(仅针对于Windows 7和Winsows Server 2008 R2 系统)
2. 打上补丁之后，可以使用老友科技推出的免费工具 网蛙桌面小程序 检查系统免疫情况

方法2: 安装“裂谷(TotalMeltdown)”漏洞检测工具

下载裂谷专用工具下载地址

相关产品

• 网蛙桌面小程序