轉載:nosec 作者:iso60001
在可能造成巨大威脅的SMB漏洞公布幾天後,微軟終於發布了一個緊急軟體更新來修補最近SMBv3協議中的缺陷。該漏洞可以讓攻擊者傳播蠕蟲型的惡意軟體,自動在內網內大規模感染存在漏洞的機器。
該漏洞被標記為CVE-2020-0796,是一個遠程代碼執行漏洞,影響到Windows 10的1903和1909版本,以及Windows Server的1903和1909版本。
SMB運行在TCP埠445上,它是一種被廣泛利用的網絡協議,支持文件共享、網絡瀏覽、列印服務和網絡進程間的通信。
這個漏洞對應的補丁為KB4551762,可以在微軟官網網站上找到。它和SMBv3協議處理帶有壓縮頭的請求的方式有關,可導致未經身份驗證的遠程攻擊者以SYSTEM權限在目標伺服器上執行惡意代碼。
壓縮頭(Compression headers)是在2019年5月添加到Windows 10和Windows Server作業系統中協議的一項功能,旨在壓縮伺服器和連接到伺服器的客戶端之間交換消息的大小。
藍屏演示:https://vimeo.com/397149983微軟在通告中表示:「為了利用該漏洞,未經身份驗證的攻擊者需向目標伺服器中的SMBv3協議發送一個經過特殊處理的數據包。而為了利用針對客戶端的漏洞,攻擊者需要配置一個惡意的SMBv3伺服器,並誘騙受害者連接到它。」
在撰寫本文時,已出現一個相關PoC演示,可導致目標機器藍屏。不過微軟既然已經放出了補丁,黑客也可通過逆向掌握漏洞細節,開發出會自動傳播的惡意軟體。
另一組研究人員也發表了一份詳細的漏洞分析報告,結論是內核池溢出是漏洞的根本原因所在。
研究人員還表示,經過測試目前公網有近48000個Windows系統易受到最新的SMB漏洞的攻擊。
由於該漏洞強大的危害性,強烈建議家庭和企業用戶儘快安裝更新,而不僅僅只是設置一些防禦手段。
如果不能立即更新補丁,建議至少阻止外界對SMB埠的訪問,以防止被遠程利用。
本文由白帽匯整理並翻譯,不代表白帽匯任何觀點和立場來源:https://thehackernews.com/2020/03/patch-wormable-smb-vulnerability.html