人類總要重蹈覆轍: WannaCry的肆虐可歸功於人們忘記Slammer和Conficker攻擊的教訓

上星期五的大型WannaCry勒索軟件攻擊相信對不少企業組織帶來重大麻煩。但少數人，尤其記得Slammer和Conficker攻擊的，應會對今此攻擊的火速蔓延感到驚訝。

其他信息:

• 勒索軟體 Wanna Decrypter 2.0攻擊: 您要知道的事宜(英文)
• Sophos 就WannaCry攻擊致客戶的文章: Knowledge Base Article (KBA) on WannaCry attack, for Sophos customers

這些病毒傳染 – 在今天標準來說算是老舊的 – 通過洩漏的微軟軟件漏洞傳播。WannaCry以同一方式傳播。在每個案例中，微軟都已經事先推出這些漏洞的補丁

對一些人來說，這個重要教訓繼續被遺忘: 企業必須大力監測補丁更新並馬上安裝最新補丁。

似曾相識

WannaCry – 都稱為Wanna Decrypter 2.0，WCry，WanaCrypt和WanaCrypt0r – 利用Window的漏洞進行攻擊，而它已在3月份推出補丁。這漏洞在Windows Server Message Block (SMB) service，用來讓Windows電腦在本地網絡共享檔案和打印機。微軟早已在MS17-010公告針對這漏洞的問題。

它打擊全球各大小機構，包括英國國家醫療服務體系 (National Health Service, NHS)。分析指這攻擊利用了NSA代碼發動攻擊，由稱為Shadow Brokers的一群黑客所洩漏。

有些人很大可能遭受感染，因為他們並沒有安裝MS17-010補丁。但其他人都被波及，因他們使用老舊而沒有支援的Windows版本，因此從未收到這安全更新。有見及此，微軟採取不常見的行動，為所有人提供自動支援平台 (比如Windows XP)的安全更新。這軟件巨擘表示:

我們知道我們一些客戶正使用不能再取得主流支援的Windows版本，這意味著這些戶不會收到三月份推出的安全更新(Security Updates)。由於這可能影響到客戶和其業務，我們決定推出安全更新至只限於客戶支持平台、Windows XP、Windows 8和Windows Server 2003, 可於此下載。

Conficker是一個廣泛傳染的網絡蠕蟲，在2008年起傳播到以百萬計的沒安裝補丁的PC電腦。SophosLabs在2008年11月21日發現到這個病毒測試服務Virus Total偵測的首個樣本。它利用Windows Server 服務的緩衝溢出漏洞傳播開去。微軟早已在2008年10月23日，在Conficker開始攻擊前29日推出這漏洞補丁。

Slammer在2013年初開始攻擊，利用了微軟早已在6個月前發出補丁的SQL Server 資料庫軟件的漏洞。很多受影響的電腦都是企業SQL伺服器，其可讓蠕蟲快速侵襲CPU資源和網絡連接。因此當這事件出現在報章頭條並不誇張：

當然今次的WannaCry攻擊真的有其獨特之處。一般勒索軟件傳染在受害者點擊惡意電郵附件或超鏈結之後立即引發。今次攻擊惡意軟件能利用遠程代碼執行 (RCE) 的漏洞，用戶無需做任何事情都讓其感染未曾補丁的電腦。攻擊者使用洩漏的NSA代碼很可能與這有關，然而這攻擊還有很多事情有待研究。

為何一些人不立即安裝補丁

不論如何，事實是情況變得更差因為可用的補丁從未安裝。

一些人會批評企業安裝最新補丁或採用最新Windows版本的速度慢。受害者尤其容易被責怪。但安裝補丁慢或使用過期Windows版本並不常常是懶惰或懈怠的結果。

一直以來，IT服務商扣起一些補丁因要改進其系統的相容性，否則有安裝了會損害其他程式的補丁的風險。同時，一些機車一直使用老舊版的Windows因為:

• 缺乏財務和人力資源更新。
• 其老舊系統不夠先進以採用如Windows 10。

還有其他理由，而這兩大挑戰。

Common-mode failure共模失敗

然而Sophos 首席技術官Joe Levy表示，這些補丁安裝不應視為選項，不論公司的補丁政策 – 就如當漏洞墮入共模失敗的類別。

安全專家Dan Geer在2014年Heartbleed被發現後在其專欄中指出這問題 (Levy表示他經常向他人推介這文章)。除了其他東西，Geer寫道:

只有單一文化會讓互聯網尺度的失敗發生; 其他失敗只是本地悲劇。對於政策制定者而言，單一文化會相干的唯一方面，就是大型開發利用的必備條件就是單一文化。用統計學的語言說，這就是”共模失敗”，由低估了的互相倚賴所引致。

美國國家標準和科技研究所 (NIST) 這樣定義共模失敗:

一個共模失敗由單一過失 (或一組過失)所引起。電腦系統如依賴單一源頭的電力、空調或I/O，易於受共模失敗模式損害。更隱密的共模失敗來源是設計缺陷，引起同一軟件程序的多餘拷貝在同一情況下失敗。

這如何應用用星期五的大事件? Levy解釋道:

當一個失敗(和其伴隨的補丁) 牽涉到常見的元件如SMB (在每一個Windows系統存在) 和遠程代碼執行相遇，這組合應超越政策限制。

換句話說，在這些Windows SMB漏洞案例的情況下，補丁應不被視作選項，不論你的補丁政策(或非政策)。扣起這些補丁的危險就是如WannaCry的攻擊可輕易席捲全球。

更多防禦措施

機構的最佳作法是保持補丁更新，和使用最新的Windows版本。

可能會有更好的作法，但目前未有。

同時，如上所述，Sophos會繼續就最新情況更新其 Knowledge Base Article (KBA) 技術知識文章，讓客戶參閱。並請閱覽之前的附加防禦措施文章。

英文原文: https://nakedsecurity.sophos.com/2017/05/14/wannacry-benefits-from-unlearned-lessons-of-slammer-conficker/

(本博文為翻譯本，內容以英文原文為準)