Windows SMBv3 远程代码执行漏洞安全通告(CVE-2020-0796)

来源:scanv2020.03.11

一 漏洞概述

2020 年 3 月 10 日,思科 Talos 团队和 Fortinet 公司发布了一个 Smbv3 的 0day 漏洞,漏洞评级为最高等级,3 月 12 日官方发布补丁信息。

Microsoft 通过 Microsoft Server Message Block 3.1.1(SMBv3)协议处理某些请求的方式中存在一个远程代码执行漏洞,成功利用此漏洞的攻击者可以在目标 SMB 服务器或 SMB 客户端上执行任意代码。

此漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。利用该漏洞可导致系统遭蠕虫攻击,也就是说漏洞可轻易地在受害者之间传播。
SMB 协议就是2017年 WannaCry 和 NotPetya 勒索软件蠕虫传播的协议,此漏洞仅影响 Windows 新近版本中的最新版本 SMBv3。
为了利用针对 SMB 服务器的漏洞,未经身份验证的攻击者可以将特制数据包发送到目标 SMBv3 服务器。若要利用针对 SMB 客户端的漏洞,未经身份验证的攻击者将需要配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器上。

二 影响组件

smbd

三 影响版本

Windows 10Version 1903 32-bit

Windows 10Version 1903 x64

Windows 10Version 1903 ARM64

Windows Server,version 1903 (系统核心)

Windows 10Version 1909 32-bit

Windows 10Version 1909 x64

Windows 10Version 1909 ARM64

Windows Server,version 1909 (系统核心)

四 复现过程

五 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Samba smbd” 进行搜索,共得到 2,862,420 条 IP 历史记录,主要分布在阿联酋、阿根廷等国家。

六 修复建议

1.官方已发布补丁方案,请根据如下链接下载修复补丁进行修复:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

2.禁用 SMBv3

可以使用以下 PowerShell 命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞。

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

进行更改后,无需重新启动,此解决方法不能防止利用SMB客户端漏洞。下面的 PowerShell 命令取消禁用:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

3.暂时关闭445端口对外开放。

4.在必要情况下限制所有进出的445流量。

七 相关链接

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult?q=app%3A%22Samba%20smbd%22

微软:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

        https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

通达OA未授权文件包含漏洞安全风险通告

热门搜索词

创宇盾抗D保HSTSSNI

热门文章

关注知道创宇云安全

获取安全动态