轉載:nosec 作者:iso60001
近日,微軟公布了在Server Message Block 3.0(SMBv3)中發現的「蠕蟲型」預授權遠程代碼執行漏洞。目前該漏洞已在本月的安全補丁中被修復。
該漏洞是由於SMBv3協議在處理惡意的壓縮數據包時出錯所造成的,它可讓遠程且未經身份驗證的攻擊者在目標系統上執行任意代碼。
儘管微軟並沒有發布更加詳細的漏洞建議,但一些早先得知了漏洞信息處於微軟主動保護計劃中的安全供應商發布了有關CVE-2020-0796安全漏洞的詳細信息。
桌面和服務端的Windows 10受到影響
根據Fortinet的安全報告,Windows 10 Version 1903, Windows Server Version 1903(Server Core installation),Windows 10 Version 1909, 和Windows Server Version 1909(Server Core installation)受到這個漏洞的影響。不過值得注意的是,引入SMBv3的Windows 8和Windows Server 2012也有可能受到影響。
Cisco Talos在周二的微軟補丁報告中表示:「攻擊者可以通過向目標的SMBv3服務發送一個特製的數據包來利用這個漏洞。」
他們還補充到:「利用這一漏洞會使系統遭受『蠕蟲型』攻擊,這意味著很容易從一個受害者感染另一個受害者。」
Fortinet說,一旦成功利用CVE-2020-0796,遠程攻擊者就可以完全控制存在漏洞的系統。
由於微軟的保密態度,人們對這個漏洞的嚴重程度有了多種看法,有些人將其與EternalBlue、NotPetya、WannaCry或MS17-010相提並論(1,2)。
也有很多人已經開始為這個漏洞起名字了,比如SMBGhost,DeepBlue 3:Redmond Drift, Bluesday,CoronaBlue和NexternalBlue。
CVE-2020-0796
在微軟發布修補CVE-2020-0796漏洞的安全更新之前,Cisco Talos分享了通過禁用SMBv3壓縮和攔截計算機的445埠來防禦利用該漏洞發起的攻擊。
雖然這個令人討厭的SMBv3 RCE的PoC還沒有發布,但還是建議每個機器管理員都實施一些預先防禦措施(如上所述),因為幾乎所有的漏洞信息都已經公開了。
微軟也發布了一份安全建議,詳細說明了如何禁用SMBv3壓縮來保護伺服器免受攻擊。
你可以使用以下PowerShell命令禁用SMBv3服務的壓縮(無需重新啟動):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force此外你還可以通過禁止SMB的流量流向外網來防禦攻擊。
本文由白帽匯整理並翻譯,不代表白帽匯任何觀點和立場來源:https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/