Windows DNS 伺服器存在「可蠕蟲化」漏洞,微軟呼籲客戶儘快更新

之前常見的勒索病毒(WannaCry)攻擊,微軟將其 CVSS 風險評分為 8.5 分;但這次的安全漏洞則評為 10 分,顯見風險極高。
評論
▲Photo Credit: Shutterstock/ 達志影像
▲Photo Credit: Shutterstock/ 達志影像
評論

根據 The Verge 報導,微軟公開警告在 Windows DNS 伺服器有一個存在長達 17 年之久的安全漏洞,並以「可蠕蟲化」(wormable)稱呼這個漏洞。

「可蠕蟲化」(wormable)指的是藉由安全漏洞進行攻擊時,駭客可以直接透過網路從一台裝置感染另一台裝置,不需要跟裝置的使用者有任何互動,最終將導致一間公司的網路基礎設施被破壞殆盡。

微軟說,Windows DNS 伺服器為核心網路元件,雖然目前還不知道那些會偽造或修改檔案、通訊內容的主動式攻擊(active attack)是否將專攻此漏洞,但仍建議客戶儘快更新 Windows。

今年 5 月時,以色列軟體公司 Check Point 研究人員發現這項漏洞並回報給微軟,當時微軟也說,還沒找到證據顯示該漏洞已有駭客利用過的痕跡;雖然如此,但目前所有 Windows Server 版本都有修補這項漏洞,只是仍得由系統管理員主動更新,避免駭客早一步利用此漏洞建立惡意軟體。

Check Point 研究人員也警告,由於這個漏洞已經存在 Windows 程式碼內長達 17 年之久,他認為如果現在資安人員找到這項漏洞,就得有「別人可能早已發現」的心理準備。

基本上,目前 Windows 10 和 Windows 的其他客戶端版本不受影響,因為這項漏洞只會影響微軟的 Windows DNS 伺服器。微軟也將此安全漏洞的風險等級,在通用漏洞評分系統(Common Vulnerability Scoring System;CVSS)中評為 10 分;相較之下,之前常見的勒索病毒(WannaCry)攻擊,微軟的風險評分為 8.5 分,顯見這次的安全漏洞風險極高,呼籲客戶重視並盡快更新。

核稿編輯:Anny

延伸閱讀: