漏洞通告丨SMBv3協議遠程代碼執行漏洞

2021-02-14 山石網科新視界
微軟公告了最新的SMBv3遠程代碼執行漏洞,山石網科針對此漏洞已經發布防護特徵。

SMB協議是Microsoft Windows中使用的一個網絡共享協議,常用於區域網內部共享文件、印表機等;SMBv3是SMB的version 3版本。近日微軟公告了一個最新的SMBv3遠程代碼執行漏洞,目前微軟已發布安全補丁對漏洞進行修復,同時山石網科針對此漏洞已經發布防護特徵,建議用戶及時修補或升級網絡安全設備入侵檢測特徵庫,做好安全防護措施。

CVE-2020-0796:是針對SMB伺服器/客戶端的一個內存破壞漏洞,屬於嚴重危害的遠程代碼執行漏洞;黑客利用此漏洞,可以在目標SMB伺服器或SMB客戶端上執行任意代碼。

客戶端漏洞發生在mrxsmb.sys中服務端漏洞發生在srv2.sys中,由於SMB沒有正確處理壓縮的數據包,在解壓數據包的時候使用客戶端傳過來的長度進行解壓時,並沒有檢查長度是否合法,導致出現整數溢出。

Windows 10 Version 1903 for 32-bit SystemsWindows 10 Version 1903 for x64-basedSystemsWindows 10 Version 1903 for ARM64-basedSystemsWindows Server, version 1903 (Server Coreinstallation)Windows 10 Version 1909 for 32-bit SystemsWindows 10 Version 1909 for x64-basedSystemsWindows 10 Version 1909 for ARM64-basedSystemsWindows Server, version 1909 (Server Coreinstallation)1、微軟官方已發布該漏洞的安全補丁,建議windows用戶及時更新安全補丁。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

1)禁用SMBv3壓縮;使用PowerShell命令禁用壓縮功能,以阻止未經身份驗證的攻擊者利用SMBv3伺服器的漏洞。

山石網科已將該漏洞的攻擊特徵添加至特徵列表中,特徵庫版本:2.1.341。用戶通過升級山石網科入侵檢測/防禦系統、防火牆、山石雲·界、山石雲·格和山石智·感的入侵檢測特徵庫,可以有效阻止黑客對SMBv3遠程代碼執行漏洞的攻擊。

圖註:山石網科IPS設備防禦效果

圖註:漏洞特徵詳細描述

如需幫助,請諮詢hscert@hillstonenet.com。

山石網科是中國網絡安全行業的技術創新領導廠商,自成立以來一直專注於網絡安全領域前沿技術的創新,提供包括邊界安全、雲安全、數據安全、內網安全在內的網絡安全產品及服務,致力於為用戶提供全方位、更智能、零打擾的網絡安全解決方案。山石網科為政府、金融、運營商、網際網路、教育、醫療衛生等行業累計超過18,000家用戶提供高效、穩定的安全防護。山石網科在蘇州、北京和美國矽谷均設有研發中心,業務已經覆蓋了美洲、歐洲、東南亞、中東等50多個國家和地區。

相關焦點

  • 【通告更新】Microsoft SMBv3遠程代碼執行漏洞安全風險通告第四次更新
    本次更新內容如下:4月14日國外有安全廠商稱已經實現此漏洞的遠程無需用戶驗證的命令執行並發布了視頻演示。如果此PoC屬實,漏洞的現實威脅進一步得到確認,由於漏洞無需用戶驗證的特性,可能導致類似WannaCry攻擊那樣蠕蟲式的傳播。鑑於漏洞危害很大,建議客戶儘快安裝補丁更新。該漏洞為Microsoft SMBv3網絡通信協議中的預身份驗證遠程代碼執行漏洞。
  • 【風險通告】Windows SMB v1 遠程代碼執行漏洞
    2020年6月10日,金山雲安全應急響應中心監測到微軟官方發布SMB v1遠程代碼執行漏洞的公告。建議用戶及時安裝最新補丁,做好資產自查及預防工作,避免不必要的損失。Windows SMB v1 遠程代碼執行漏洞CVE-2020-1301SMB(Server Message Block) 是網絡文件共享系統(Common Internet File System,縮寫為CIFS),一種應用層網絡傳輸協議,由微軟開發,主要功能是使網絡上的機器能夠共享計算機文件、印表機、串行埠和通訊等資源。
  • 微軟SMBv3 Client/Server遠程代碼執行漏洞安全風險通告(CVE-2020-0796)
    3月12日,微軟發布安全公告披露了一個最新的SMBv3遠程代碼執行漏洞(CVE-2020-0796)。
  • SMBGhost:微軟SMBv3遠程代碼執行漏洞分析(CVE-2020-0796)
    微軟發布了針對115個CVE漏洞的補丁更新,其中最引人關注的是一個針對Smb伺服器/客戶端的一個內存破壞漏洞,CVE編號為CVE-2020-0796,成功利用此漏洞的攻擊者可以在目標SMB伺服器或SMB客戶端上執行任意代碼,此漏洞屬於嚴重危害的零接觸蠕蟲級遠程代碼執行漏洞,此漏洞也被稱為 SMBGhost或「Coronablue。
  • SMB v1遠程代碼執行漏洞(CVE-2020-1301)風險通告
    2020年6月10日,微軟發布補丁修復了一個標註為遠程代碼執行的SMB v1漏洞:CVE-2020-1301,漏洞影響Win7-Win10的所有版本
  • 【安全通告】Windows 10和Server版本SMBv3 協議高危漏洞風險提示
    次日晚(2020年3月12日)微軟正式發布CVE-2020-0796高危漏洞補丁。漏洞公告顯示,SMB 3.1.1協議中處理壓縮消息時,對其中數據沒有經過安全檢查,直接使用會引發內存破壞漏洞,可能被攻擊者利用遠程執行任意代碼。攻擊者利用該漏洞無須權限即可實現遠程代碼執行,受黑客攻擊的目標系統只需開機在線即可能被入侵。
  • SMBGhost:一個SMB的RCE幽靈漏洞.
    而其中漏洞描述稱,這是一個存在於SMB v3的遠程代碼執行漏洞,攻擊者可以通過利用該漏洞,向存在漏洞的受害主機的SMBv服務發送一個特殊構造的數據包即可遠程執行任意代碼,甚至是可以造成蠕蟲攻擊,也就是很有可能成為下一個Wannacry。
  • Windows 10和Server版本SMBv3協議高危漏洞風險提示
    漏洞公告2020年3月10日,微軟官方更新發布了3月安全更新補丁和針對Windows 10/Server禁用SMBv3(SMB 3.1.1版本)協議壓縮的指南公告,以此緩解SMBv3協議在處理調用請求時的一個遠程執行代碼漏洞,公告編號:ADV200005(暫未更新CVE-2020-0796頁面),相關連結:https://portal.msrc.microsoft.com
  • 新版Windows SMB遠程代碼執行漏洞預警
    0x01 漏洞概況漏洞名稱:Windows SMB遠程代碼執行漏洞漏洞編號:CVE
  • 關於Windows SMBv3遠程代碼執行漏洞的預警通報
    Windows SMBv3遠程代碼執行漏洞(CVE-2020-0796)的利用方式十分接近永恆之藍系列,WannaCry勒索蠕蟲就是利用永恆之藍系列漏洞造成的重大事件。攻擊者可以通過多種方式觸發該漏洞,無需用戶驗證,獲取目標主機的完全控制權並執行任意代碼。可導致敏感信息洩露、重要數據丟失、伺服器失控癱瘓等情況。
  • 技術乾貨 | 漏洞復現:CVE-2020-0796(SMBv3遠程代碼執行)漏洞復現
    目錄CVE-2020-0796    漏洞描述    漏洞危害等級            影響版本    漏洞復現    實現本地提權CVE-2020-0796漏洞描述>      2020年3月10日,微軟在其官方SRC發布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客戶端和服務端存在遠程代碼執行漏洞。
  • 華碩路由器遠程代碼執行漏洞通告
    2020年08月03日, 360CERT監測發現 業內安全廠商 發布了 華碩RT-AC系列路由器遠程代碼執行 的風險通告,漏洞等級:高危,漏洞評分:8.3分華碩AC系列路由器 存在 緩衝區溢出漏洞,遠程攻擊者 通過 向受影響的設備發送特製數據包,可以造成 遠程代碼執行 的影響。
  • SMBv3遠程代碼執行漏洞(CVE-2020-0796)
    ,該漏洞攻擊方式與之前永恆之藍(ms17-010)的攻擊方式一樣,也是利用Window SMB漏洞遠程攻擊獲取系統最高權限,是WannacCry勒索病毒和挖礦病毒最喜歡利用攻擊方式。2020年3月12日23點微軟才發布正式發布CVE-2020-0796高危漏洞補丁。
  • Win10(SMBv3漏洞) 安全軟體防禦能力測試
    Win10(SMBv3漏洞) 安全軟體防禦能力測試1.漏洞概述        Microsoft伺服器消息塊(SMB)協議是Microsoft Windows中使用的一項Microsoft網絡文件共享協議。
  • 漏洞預警┃SMB協議爆出遠程代碼執行漏洞;CVE-2019-0090漏洞影響過去5年的英特爾晶片
    漏洞信息近期,微軟公布了在Server Message Block 3.0(SMBv3)中發現的「蠕蟲型」預授權遠程代碼執行漏洞(CVE-2020-0796)。SMB(ServerMessage Block)通信協議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協議,主要是作為Microsoft區域網路的通訊協議。此協議支撐了網上鄰居即文件共享功能,包括調用區域網的印表機,均是由SMB協議完成的。
  • 【更新】微軟SMBv3 Client/Server遠程代碼執行漏洞深入分析(CVE-2020-0796)
    CVE-2020-0796,微軟SMBv3 Client/Server遠程代碼執行漏洞。該漏洞存在於srv2.sys文件中,由於SMB沒有正確處理壓縮的數據包,在解壓數據包的時候使用客戶端傳過來的長度進行解壓時,並沒有檢查長度是否合法,最終導致整數溢出。1.
  • 漏洞通告|TeamViewer 遠程代碼執行漏洞通告 (CVE-2020-13699)
    它主要用於遠程訪問和控制各種類型的計算機系統和行動裝置,但也提供協作和演示功能(例如,桌面共享,Web會議,文件傳輸等)。近日,TeamViewer官方發布了TeamViewer URL處理的風險通告。
  • 【漏洞分析】CVE-2020-1301 Windows SMB Authenticated遠程代碼執行漏洞分析說明
    作者論壇帳號:yaoyao7CVE-2020-1301 Windows SMB Authenticated遠程代碼執行漏洞分析說明一漏洞簡述2. 組件概述Microsoft Windows的所有版本均附帶伺服器消息塊(SMB)協議的實現。SMB是本機Windows網絡框架,支持文件共享,網絡列印,遠程過程調用和其他功能。在Windows系統上,SMB協議通過附加的安全性,文件和磁碟管理支持擴展了CIFS協議。通過各種SMB命令和子命令類型提供這些功能。3.
  • 安全通告丨Windows SMB遠程代碼執行漏洞安全通告(CVE-2020-0796)
    騰訊雲鼎實驗室發現微軟周二補丁日披露了一個SMB服務的重大安全漏洞,攻擊者利用該漏洞無須權限即可實現遠程代碼執行,該漏洞的後果十分接近永恆之藍系列
  • SMB v1遠程代碼執行漏洞 (CVE-2020-1301)
    漏洞描述  近日,微軟發布補丁修復了一個標註為遠程代碼執行的