国土安全部的CISA发布了有史以来的第三个紧急命令,给各机构24小时的时间来修补或缓解“可蠕虫”的Windows DNS服务器漏洞

2020-07-17 06:37:31

周四,由国土安全部(Department Of Homeland Security)网络安全部门撰写的这份报告命令联邦民用机构为新曝光的微软Windows漏洞应用安全补丁,理由是该漏洞对各机构的安全构成了“不可接受的重大风险”。

这是国土安全部网络安全和基础设施安全局(CyberSecurity And Infrastructure Security Agency)有史以来发布的第三次紧急命令,给各机构大约24小时的时间,要么为用于域名系统目的的Windows服务器打补丁,要么应用另一种缓解措施。受影响的服务器不支持DNS的组织必须在7月24日之前修补。

CISA在其指令中表示,该指令的紧迫性“基于漏洞被利用的可能性、受影响软件在整个联邦企业中的广泛使用、机构信息系统受损的高可能性,以及成功妥协的严重影响”。该机构表示,目前还不知道有任何积极利用该漏洞的情况。

CISA主任克里斯·克雷布斯(Chris Krebs)说:“针对这个漏洞进行攻击只是个时间问题。”

微软周二发布了该漏洞的补丁,该漏洞是“可蠕虫的”,这意味着滥用该漏洞的恶意软件可以自行从受感染的系统移动到受感染的系统。安全研究人员立即就该漏洞的潜在影响敲响了警钟,因为它可能会让利用该漏洞的黑客拦截和篡改网络流量,窃取用户的凭据。

最近记忆中一些更危险的软件漏洞是容易蠕虫的,包括2017年WannaCry恶意软件利用的Windows漏洞,该漏洞感染了150个国家的20多万台机器,仅英国国家医疗服务体系(National Health Service)一项就造成了超过1亿美元的损失。