【更新】遠程利用POC公佈|CVE-2020-0796:微軟發佈SMBv3協議“蠕蟲級”漏洞補丁通告
360-CERT [三六零CERT](javascript:void(0)😉 昨天
0x00 事件描述
2020年3月11日,360CERT監測到有海外廠家發佈安全規則通告,通告中描述了一處微軟SMBv3協議的內存破壞漏洞,編號CVE-2020-0796,並表示該漏洞無需授權驗證即可被遠程利用,可能形成蠕蟲級漏洞。
漏洞等級:嚴重
該漏洞同時影響服務端和客戶端程序,影響所有 Windows 未安裝補丁用戶!!!
3月12日,微軟正式發佈漏洞通告和相關補丁。
3月30日,360CERT監測到有國外的安全研究員在GitHub放出了漏洞本地利用代碼。
6月02日,研究人員公佈遠程利用PoC代碼。公開的遠程利用將會把漏洞的危害擴展到最大化,360CERT建議用戶儘快進行修復。
0x01 風險等級
360CERT對該漏洞的評定結果如下
評定方式 | 等級 |
---|---|
威脅等級 | 嚴重 |
影響面 | 廣泛 |
0x02 漏洞詳情
微軟公告中描述如下[見參考鏈接1]:
漏洞是因爲操作系統在處理SMB3中的壓縮數據包時存在錯誤處理。成功構造數據包的攻擊者可在遠程無驗證的條件下利用該漏洞執行任意代碼。
漏洞利用結果如圖:
0x03 影響範圍
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows Server, version 1909 (Server Core installation)
0x04 修復建議
3月12日微軟正式發佈漏洞通告和補丁方案
請在根據如下鏈接下載修復補丁進行修復
CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
無法安裝更新的用戶可以選擇遵循微軟官方指南,停用 SMBv3 中的壓縮功能
powershell 中運行如下命令
# 停用Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force# 恢復Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
該修復對客戶端無效,請勿連接不信任的 SMB 服務器。以免遭受該漏洞影響。
360CERT建議通過安裝360安全衛士進行一鍵更新。
http://weishi.360.cn/
應及時進行Microsoft Windows版本更新並且保持Windows自動更新開啓。
windows server / windows 檢測並開啓Windows自動更新
流程如下
- 點擊開始菜單,在彈出的菜單中選擇“控制面板”進行下一步。
- 點擊控制面板頁面中的“系統和安全”,進入設置。
- 在彈出的新的界面中選擇“windows update”中的“啓用或禁用自動更新”。
- 然後進入設置窗口,展開下拉菜單項,選擇其中的
自動安裝更新(推薦)
。
0x05 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現 SMBv3 服務在全球均有廣泛使用。具體分佈如下圖所示。
0x06 產品側解決方案
360安全衛士
針對本次事件,windows用戶可通過360安全衛士實現補丁安裝,其他平臺的用戶可以根據修復建議列表中的產品更新版本對存在漏洞的產品進行更新。
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類 漏洞/事件 進行監測,請用戶聯繫相關產品區域負責人獲取對應產品。
0x07 時間線
2020-03-11 某廠家發佈規則更新,疑似SMBv3嚴重漏洞
2020-03-11 360CERT 跟進併發布改漏洞初步跟進說明
2020-03-12 微軟正式更新CVE-2020-0796漏洞修復
2020-03-12 360CERT更新預警
2020-03-31 360CERT監測到GitHub放出本地利用代碼
2020-03-31 360CERT更新預警
2020-06-02 360CERT監測到研究人員公佈遠程利用代碼
2020-06-02 360CERT更新預警
0x08 參考鏈接
1.https://fortiguard.com/encyclopedia/ips/48773
2.CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
3.CVE-2020-0796 - Windows SMBv3 LPE exploit #SMBGhost
https://github.com/danigargu/CVE-2020-0796
4.CVE-2020-0796:微軟發佈SMBv3協議“蠕蟲級”漏洞補丁通告
https://cert.360.cn/warning/detail?id=04f6a686db24fcfa478498f55f3b79ef
5.【更新】本地提權工具公開|CVE-2020-0796:微軟發佈SMBv3協議“蠕蟲級”漏洞補丁通告 - 360CERT
https://cert.360.cn/warning/detail?id=66c5a7404bd9b969016b91073483720c
轉載自https://mp.weixin.qq.com/s/LeUZnug5iJbruorTjN49UQ