前言
Microsoft Windows中的Microsoft Server Message Block 3.1.1 (SMBv3)版本中处理压缩数据包的方法存在安全漏洞。远程攻击者可借助特制的压缩数据包利用该漏洞执行任意代码。捷普安全实验室第一时间跟进漏洞研究并提供相应的解决方案。
漏洞背景
2020年3月11日微软发布3月例行更新,但其中并未公布编号为CVE-2020-0796的高危漏洞资料,随后国外安全厂商Fortiguard发布的安全规则公告。该通知描述了Microsoft SMBv3协议中编号为CVE-2020-0796的内存损坏漏洞,并指出该漏洞不需要授权验证,可以远程使用,它可能形成蠕虫级别的漏洞。这表示试图利用Microsoft SMB服务器中的缓冲区溢出漏洞进行攻击。该漏洞是由于易受攻击的软件处理恶意制作的压缩数据包时发生的错误而引起的。远程未经身份验证的攻击者可以利用此漏洞执行任意代码。
2020年6月2日远程利用POC公布,极大程度增加了该漏洞的危害。
影响版本
包含教育,企业,专业等各发行版:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-basedSystems
Windows 10 Version 1903 for x64-basedSystems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-basedSystems
Windows 10 Version 1909 for x64-basedSystems
Windows Server version 1903 (Server Coreinstallation)
Windows Server version 1909 (Server Coreinstallation)
风险统计
根据网络空间安全搜索引擎统计提供的数据,目前全球范围可能存在该漏洞的SMB主机数约13W+,直接暴露在公网。
利用方法
使用网上已公开POC进行测试,验证过程如下图所示:
防御方案
1.使用捷普网络脆弱性评估系统(NVAS)对漏洞进行检测。
2.使用捷普入侵防御系统(IPS)的用户,请升级最新补丁,并配置相关规则策略进行防护。
防御建议
1、微软已发布了更新补丁,下载地址:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762也可以自行在Windows的更新管理界面手动更新,也可以更新下载补丁。
2、禁用SMBv3压缩使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。Set-ItemProperty-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”DisableCompression -Type DWORD -Value 1 –Force
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4551762
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
JUMP全面安全 超越所想
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
