记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【漏洞通告】CVE-2020-0796/Windows SMBv3远程代码执行漏洞安全通告(内含Exp视频和检测方法)

2020-03-15 14:57

【漏洞通告】CVE-2020-0796/Windows SMBv3远程代码执行漏洞安全通告(内含Exp视频和检测方法)

一、事件背景

3月10日,微软发布了KB4551762安全更新,修复了在微软服务器消息块3.1.1(SMBv3)中发现的预授权RCE Windows 10漏洞(CVE-2020-0796)。在2020年3月补丁星期二活动日披露了关于该漏洞的细节,两天后公布安全更新。根据微软的说法,KB4551762安全更新解决的是“网络通信协议的问题,它提供共享访问文件、打印机和串行端口”。

二、漏洞信息

漏洞名称Windows SMBv3远程代码执行漏洞
CVE编号CVE-2020-0796
影响范围影响Windows 10 1903及之后的各个版本
威胁等级严重
公开时间2020年3月10日

三、影响范围

漏洞影响Windows 10 1903及之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。

1
2
3
4
5
6
7
8
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)

正是目前主流操作系统版本,在个人、企业环境应用广泛。

四、漏洞分析

SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。

五、漏洞复现

5.1 检测工具

目前已公开漏洞检查工具
https://github.com/SecurityCN/SMBGhost

nmap扫描CVE-2020-0796的nse脚本
https://github.com/SecurityCN/Vulnerability-analysis/blob/master/CVE-2020-0796/cve-2020-0796.nse

5.2 漏洞复现

SophosLabs的Offensive Research团队开发并共享了一个本地特权升级概念验证的漏洞利用演示视频,该漏洞使具有低级特权的攻击者可以获得系统级特权


Kryptos Logic表示:“即使不存在要分析的补丁程序,也很难发现SMB漏洞。”恶意攻击者几乎可以自己对CVE-2020-0796进行利用。

详细可以观看视频

*视频来自网络

六、修复建议

6.1 升级

微软官方已发布漏洞修复更新,

  1. 及时更新系统补丁——设置->更新和安全->Windows更新,点击“检查更新”,根据业务情况开展评估,下载并安装相应的安全补丁,更新后重启系统生效,并观察系统及业务运行状态。
  2. 下载离线补丁包:
    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

6.2 缓解措施

对于暂时无法应用此安全更新的管理员,微软提供了针对SMB服务器的缓解措施,并建议使用此PowerShell命令禁用SMBv3压缩(无需重新启动,不会阻止SMB客户端的利用):

1
2
3
Set-ItemProperty -Path 

"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

此外,还建议企业客户在企业外围防火墙处阻止TCP端口445,防止试图利用此漏洞对SMB服务器进行攻击。

参考:

*https://www.bleepingcomputer.com/news/security/microsoft-releases-kb4551762-security-update-for-smbv3-vulnerability/
*https://github.com/SecurityCN/SMBGhost
*https://gist.github.com/nikallass/40f3215e6294e94cde78ca60dbe07394


知识来源: https://www.securityinfo.cn/2020/03/12/【漏洞通告】CVE-2020-0796Windows SMBv3远程代码执行漏洞安全通告(内含Exp视频和检测方法)/

阅读:67727 | 评论:0 | 标签:exp 漏洞 CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“【漏洞通告】CVE-2020-0796/Windows SMBv3远程代码执行漏洞安全通告(内含Exp视频和检测方法)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云