資安通報- Petya Ransomware (CVE-2017-0144)(CVE-2017-0199)

繼WanaCrypt0r/WanaCry attacks後,又一波死恢復燃的攻擊出現了。
“Petya”,2017/06/27,攻擊出現在多個組織,包含政府及重要的基礎設施上,
為什麼講死恢復燃?如果對CVE這個組織有了解的話,看序號就會知道這是跟WanaCry同一個時間出現的Windows 漏洞,同樣的,微軟在2017/3/14也發布了重大更新,所以如果有進行Windows更新的設備,基本上都不必太擔心。
另外,此次的攻擊方式與2017年5月的Wannacry相似,但就我找到的文件來看,比Wannacry可怕的是,只要環境中有一台電腦沒進行更新,病毒感染後,就會再採用CVE-2017-0199的漏洞進行橫向感染,
如果還不知道的,在下面有香港的unwire.hk有提供中文說明:
—————————————————————————————————————————-
針對Paloalto的處理方式如下:
  • WildFire classifies all known samples as malware, automatically blocking malicious content from being delivered to users.
  • Threat Prevention
    • Enforces IPS signatures (content release: 688-2964) for the SMB vulnerability exploit (CVE-2017-0144– MS17-010) likely used in this attack.
    • Blocks the malicious payload via “Virus/Win32.WGeneric.mkldr” and “Virus/Win32.WGeneric.mkknd” signatures.
  • GlobalProtect extends WildFire protections to ensure consistent coverage for remote locations and users.
從文件中可以知道,如果設備已有採購Wirefire及Threat的License的情況下,並有開啟相關的阻擋功能後,已可針對”Petya”的惡意攻擊進行防禦。
 
—————————————————————————————————————————-
 
針對Fortigate的處理方式如下:
Fortigate有提出針對petya建立了一個petya-central資料平台,讓使用者可以知道最新的消息,網址如下,
 
原廠也有提出說明,只要更新到最新的IPS, 即可有效進行防禦。

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.