CVE-2020-0796:SMBv3的RCE漏洞,下一個EternalBlue?

2020-12-03 資安之路

轉載:nosec 作者:iso60001

近日,微軟公布了在Server Message Block 3.0(SMBv3)中發現的「蠕蟲型」預授權遠程代碼執行漏洞。目前該漏洞已在本月的安全補丁中被修復。

該漏洞是由於SMBv3協議在處理惡意的壓縮數據包時出錯所造成的,它可讓遠程且未經身份驗證的攻擊者在目標系統上執行任意代碼。

儘管微軟並沒有發布更加詳細的漏洞建議,但一些早先得知了漏洞信息處於微軟主動保護計劃中的安全供應商發布了有關CVE-2020-0796安全漏洞的詳細信息。

桌面和服務端的Windows 10受到影響

根據Fortinet的安全報告,Windows 10 Version 1903, Windows Server Version 1903(Server Core installation),Windows 10 Version 1909, 和Windows Server Version 1909(Server Core installation)受到這個漏洞的影響。不過值得注意的是,引入SMBv3的Windows 8和Windows Server 2012也有可能受到影響。

Cisco Talos在周二的微軟補丁報告中表示:「攻擊者可以通過向目標的SMBv3服務發送一個特製的數據包來利用這個漏洞。」

他們還補充到:「利用這一漏洞會使系統遭受『蠕蟲型』攻擊,這意味著很容易從一個受害者感染另一個受害者。」

Fortinet說,一旦成功利用CVE-2020-0796,遠程攻擊者就可以完全控制存在漏洞的系統。

由於微軟的保密態度,人們對這個漏洞的嚴重程度有了多種看法,有些人將其與EternalBlue、NotPetya、WannaCry或MS17-010相提並論(1,2)。

也有很多人已經開始為這個漏洞起名字了,比如SMBGhost,DeepBlue 3:Redmond Drift, Bluesday,CoronaBlue和NexternalBlue。

CVE-2020-0796

在微軟發布修補CVE-2020-0796漏洞的安全更新之前,Cisco Talos分享了通過禁用SMBv3壓縮和攔截計算機的445埠來防禦利用該漏洞發起的攻擊。

雖然這個令人討厭的SMBv3 RCE的PoC還沒有發布,但還是建議每個機器管理員都實施一些預先防禦措施(如上所述),因為幾乎所有的漏洞信息都已經公開了。

微軟也發布了一份安全建議,詳細說明了如何禁用SMBv3壓縮來保護伺服器免受攻擊。

你可以使用以下PowerShell命令禁用SMBv3服務的壓縮(無需重新啟動):

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force此外你還可以通過禁止SMB的流量流向外網來防禦攻擊。

本文由白帽匯整理並翻譯,不代表白帽匯任何觀點和立場來源:https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/

相關焦點

  • CVE-2020-1206:SMBleed漏洞影響SMB
    漏洞位於SMB的解壓縮函數中,與SMBGhost和EternalDarkness漏洞(CVE-2020-0796)位於同一函數中,攻擊者利用該漏洞可以遠程從竊取kernel 內存信息,與之前爆出的蠕蟲漏洞結合之後,就可以實現遠程代碼執行攻擊。漏洞分析SMB協議運行在TCP 445埠,是文件分享、網絡瀏覽、列印服務和網絡上進程間通信的基礎。
  • SMB遠程代碼執行漏洞(CVE-2020-0796)分析
    2020年3月10日,微軟發布安全公告,其中包括一個Windows SMBv3 遠程代碼執行漏洞(CVE-2020-0796)。該漏洞源於SMBv3協議在處理惡意壓縮數據包時,進入了錯誤流程。遠程未經身份驗證的攻擊者可利用該漏洞在應用程式中執行任意代碼。
  • 永恆之黑漏洞如何避免?
    2020年年初,微軟發布了一個緊急補丁,以修復SMBv3的漏洞,該漏洞編號為CVE-2020-0796。CVE-2020-0796的可蠕蟲性讓人想起永恆之藍,永恆之藍是SMBv1中的一個遠程代碼執行(RCE)漏洞,也就是災難性惡意軟體WannaCry的主要媒介。
  • Windows SMBv3 remote Exploit (cve-2020-0796)漏洞成功復現
    今天上午發了個視頻,cve-2020-0796的漏洞復現。。本地可以提權,很可惜的是遠程是藍屏。今天下午測試了一下遠程的exp,也成功執行了。我用的exp是https://github.com/chompie1337/SMBGhost_RCE_PoC。測試環境是我下載了一個win10的1909版的虛擬機鏡像。由於頭條裡不讓放迅雷之類的連結,所以大家自行搜索吧。
  • 微軟發布CVE-2020-0796補丁
    轉載:nosec 作者:iso60001在可能造成巨大威脅的SMB漏洞公布幾天後,微軟終於發布了一個緊急軟體更新來修補最近SMBv3協議中的缺陷。該漏洞可以讓攻擊者傳播蠕蟲型的惡意軟體,自動在內網內大規模感染存在漏洞的機器。
  • SMB遠程代碼執行漏洞CVE-2020-0796安全通告
    【漏洞名稱】SMB遠程代碼執行漏洞(CVE-2020-0796),有安全研究者取名「SMBGhost」。【漏洞描述】微軟3月11日發布3月例行更新,其中並未公布編號為CVE-2020-0796的高危漏洞資料,但該漏洞卻最為引人注目。次日晚(2020年3月12日)微軟正式發布CVE-2020-0796高危漏洞補丁。
  • 最新Windows漏洞——CVE-2020-0796,堪比永恆之藍
    永恆之藍 2.0 來了,基於 SMBv3 的漏洞,Windows8和Windows Server 2012 - Windows 10 最新版全部中招,屬於系統級漏洞利用這一漏洞會使系統遭受『蠕蟲型』攻擊,這意味著很容易從一個受害者感染另一個受害者
  • CVE-2020-XXXX,大分享(一)!
    /cve-2020-0796](https://github.com/ButrintKomoni/cve-2020-0796)- [dickens88/cve-2020-0796-scanner](https://github.com/dickens88/cve-2020-0796-scanner)- [kn6869610/CVE-2020-0796](https://github.com
  • 「驅動人生」殭屍網絡全網撿漏,SMBv3「蠕蟲級」漏洞秒入武器庫
    6月9日,360安全大腦監測到「驅動人生」殭屍網絡的高危異動,其原有的殭屍模塊進行大規模更新,增加「SMBv3漏洞利用」模塊與「Redis未授權訪問漏洞利用」模塊,意圖利用最新曝光的高危「蠕蟲式」漏洞,擴展入侵範圍感染更多計算機謀利。
  • 永恆之黑:CVE-2020-0796漏洞復現
    漏洞介紹3月12日,微軟披露了一個最新的SMBv3(3.1.1)遠程代碼執行漏洞(CVE-2020-0796),俗稱「永恆之黑」。本漏洞源於SMBv3沒有正確處理壓縮的數據包,在解壓數據包的時候使用客戶端傳過來的長度進行解壓時,並沒有檢查長度是否合法,最終導致整數溢出。
  • 微軟曝SMBv3零接觸遠程漏洞,影響Win10用戶,請儘快修復
    北京時間3月12日,Windows 10曝出一個威力驚人的可蠕蟲化漏洞,漏洞編號為(CVE-2020-0796),該漏洞存在於Windows的SMBv3.0(服務消息塊協議)中,利用此漏洞無需用戶授權驗證,可遠程實現目標系統惡意代碼執行。目前微軟已緊急發布SMBv3漏洞的安全通告和修復補丁。
  • 「網警提醒」關於Windows SMBv3遠程代碼執行漏洞的預警通報
    近日微軟發布了Windows SMBv3遠程代碼執行漏洞(CVE-2020-0796)的補丁程序,該漏洞被微軟官方標記為緊急漏洞。現將情況通報如下:Windows SMBv3遠程代碼執行漏洞相關情況Windows SMBv3遠程代碼執行漏洞(CVE-2020-0796)的利用方式十分接近永恆之藍系列,WannaCry勒索蠕蟲就是利用永恆之藍系列漏洞造成的重大事件
  • 「驅動人生」殭屍網絡伺機而「洞」,新增SMBGhost漏洞利用模塊
    6月9日,360安全大腦監測到「驅動人生」殭屍網絡的高危異動,其原有的殭屍模塊進行大規模更新,增加「SMBv3漏洞利用」模塊與「Redis未授權訪問漏洞利用」模塊,意圖利用最新曝光的高危「蠕蟲式」漏洞,擴展入侵範圍感染更多計算機謀利。
  • 高清還原漏洞——被微軟發布又秒刪的遠程預執行代碼漏洞CVE-2020...
    概述  ◆2020年3月10日是微軟補丁日,安全社區注意到Microsoft發布並立即刪除了有關CVE-2020-0796的信息;  ◆2020年3月11日早上,Microsoft發布了可糾正SMBv3協議如何處理特製請求的修補程序;  ◆2020年03月
  • 微軟補丁星期二修復 115 個漏洞,洩露的 SMBv3 漏洞已修復
    第一個是 Microsoft Word 中的一個漏洞(CVE-2020-0852),該漏洞會導致軟體無法處理內存中的對象,並使得攻擊者可以在用戶沒有打開惡意文件的情況下運行任意代碼。第三個漏洞存在於 Dynamics Business Central 中,編號為 CVE-2020-0905。關於該漏洞,微軟表示,攻擊者會設法破壞未打補丁的主機,然後可以在受害者的伺服器上執行任意 shell 命令。
  • CVE-2020-0796 漏洞利用演示
    本文轉載自【微信公眾號:MicroPest,ID:gh_696c36c5382b】這幾天,這個漏洞(號稱「永恆之黑」)刷屏了,陸續出來了Poc Exp(影響Windows8和Windows Server 2012 - Windows 101909版本),抽出時間來實踐了下,雖然有些條件限制
  • 「驅動人生」殭屍網絡新增SMBGhost漏洞利用模塊,Win10恐成威脅重...
    6月9日,360安全大腦監測到「驅動人生」殭屍網絡的高危異動,其原有的殭屍模塊進行大規模更新,增加「SMBv3漏洞利用」模塊與「Redis未授權訪問漏洞利用」模塊,意圖利用最新曝光的高危「蠕蟲式」漏洞,擴展入侵範圍感染更多計算機謀利。
  • Bitdefender在網絡級別阻止CVE-2020-0796漏洞利用攻擊
    2020年3月12日,Microsoft發布了一個特別重要的補丁,修復了SMB內核驅動程序中的嚴重缺陷,此漏洞影響Windows的SMB客戶端和伺服器3.1.1版,可以遠程利用該漏洞引發拒絕服務攻擊,並在某些情況下觸發遠程執行代碼。
  • 微軟緊急發布補丁修復SMBv3協議蠕蟲漏洞 4.8萬主機或受影響
    首頁 > 見聞 > 關鍵詞 > 微軟最新資訊 > 正文 微軟緊急發布補丁修復SMBv3協議蠕蟲漏洞 4.8萬主機或受影響
  • 美政府警告黑客開始針對Win10 SMBGhost漏洞發動攻擊
    美國國土安全部上周(6/5)發布公告,要求用戶儘快修補一個已有修補程序的Windows 10安全漏洞,因為相關攻擊程序正在網絡上流傳。國土安全部下的網絡安全暨基礎架構安全局(Cybersecurity and Infrastructure Security,CISA)得知網絡上已經可供下載且有效的概念驗證(proof-of-concept, PoC)程序,正在開採未修補Windows 10 PC上的CVE-2020-0796漏洞。