< 返回新闻公告列表

SMBv3“蠕虫级”漏洞来袭 CVE-2020-0796

发布时间:2020-03-14 21:07:46    来源:

近日,微软公布了在Server Message Block 3.0(SMBv3)中发现的“蠕虫型”预授权远程代码执行漏洞。目前该漏洞详细的官方补丁还未被微软放出。

该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的,它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。

尽管微软并没有发布更加详细的漏洞建议,但一些早先得知了漏洞信息处于微软主动保护计划中的安全供应商发布了有关CVE-2020-0796安全漏洞的详细信息。


2020年3月11日,我们检测到Fortiguard发布的安全规则公告。该通知描述了Microsoft SMBv3协议中编号为CVE-2020-0796的内存损坏漏洞,并指出该漏洞不需要授权验证,可以远程使用,它可能形成蠕虫级别的漏洞。

这表示试图利用Microsoft SMB服务器中的缓冲区溢出漏洞进行攻击。

该漏洞是由于易受攻击的软件处理恶意制作的压缩数据包时发生的错误而引起的。远程未经身份验证的攻击者可以利用此漏洞在应用程序的上下文中执行任意代码。

受影响的版本

  • 适用于32位系统的Windows 10版本1903
  • Windows 10 1903版(用于基于x64的系统)
  • Windows 10 1903版(用于基于ARM64的系统)
  • Windows Server 1903版(服务器核心安装)
  • 适用于32位系统的Windows 10版本1909
  • Windows 10版本1909(用于基于x64的系统)
  • Windows 10 1909版(用于基于ARM64的系统)
  • Windows Server版本1909(服务器核心安装)

鉴于Microsoft尚未描述编号为CVE-2020-0796的漏洞,因此暂时不确定是否存在此漏洞。我们建议用户密切注意此漏洞事件的发展。


桌面和服务端的Windows 10受到影响

根据Fortinet的安全报告,Windows 10 Version 1903, Windows Server Version 1903(Server Core installation),Windows 10 Version 1909, 和Windows Server Version 1909(Server Core installation)受到这个漏洞的影响。不过值得注意的是,引入SMBv3的Windows 8和Windows Server 2012也有可能受到影响。

Cisco Talos在周二的微软补丁报告中表示:“攻击者可以通过向目标的SMBv3服务发送一个特制的数据包来利用这个漏洞。”

他们还补充到:“利用这一漏洞会使系统遭受‘蠕虫型’攻击,这意味着很容易从一个受害者感染另一个受害者。”

Fortinet说,一旦成功利用CVE-2020-0796,远程攻击者就可以完全控制存在漏洞的系统。

由于微软的保密态度,人们对这个漏洞的严重程度有了多种看法,有些人将其与EternalBlue、NotPetya、WannaCry或MS17-010相提并论(1,2)。

也有很多人已经开始为这个漏洞起名字了,比如SMBGhost,DeepBlue 3:Redmond Drift, Bluesday,CoronaBlue和NexternalBlue。

CVE-2020-0796

在微软发布修补CVE-2020-0796漏洞的安全更新之前,Cisco Talos分享了通过禁用SMBv3压缩和拦截计算机的445端口来防御利用该漏洞发起的攻击。

虽然这个令人讨厌的SMBv3 RCE的PoC还没有发布,但还是建议每个机器管理员都实施一些预先防御措施(如上所述),因为几乎所有的漏洞信息都已经公开了。


你可以使用以下PowerShell命令禁用SMBv3服务的压缩(无需重新启动):

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

此外你还可以通过禁止SMB的流量流向外网来防御攻击。


相关推荐