近日,微软公布了在Server Message Block 3.0(SMBv3)中发现的“蠕虫型”预授权远程代码执行漏洞。目前该漏洞详细的官方补丁还未被微软放出。
该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的,它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。
尽管微软并没有发布更加详细的漏洞建议,但一些早先得知了漏洞信息处于微软主动保护计划中的安全供应商发布了有关CVE-2020-0796安全漏洞的详细信息。
桌面和服务端的Windows 10受到影响
根据Fortinet的安全报告,Windows 10 Version 1903, Windows Server Version 1903(Server Core installation),Windows 10 Version 1909, 和Windows Server Version 1909(Server Core installation)受到这个漏洞的影响。不过值得注意的是,引入SMBv3的Windows 8和Windows Server 2012也有可能受到影响。
Cisco Talos在周二的微软补丁报告中表示:“攻击者可以通过向目标的SMBv3服务发送一个特制的数据包来利用这个漏洞。
他们还补充到:“利用这一漏洞会使系统遭受‘蠕虫型’攻击,这意味着很容易从一个受害者感染另一个受害者。”
Fortinet说,一旦成功利用CVE-2020-0796,远程攻击者就可以完全控制存在漏洞的系统。
由于微软的保密态度,人们对这个漏洞的严重程度有了多种看法,有些人将其与EternalBlue、NotPetya、WannaCry或MS17-010相提并论(1,2)。
也有很多人已经开始为这个漏洞起名字了,比如SMBGhost,DeepBlue 3:Redmond Drift, Bluesday,CoronaBlue和NexternalBlue。
CVE-2020-0796
在微软发布修补CVE-2020-0796漏洞的安全更新之前,Cisco Talos分享了通过禁用SMBv3压缩和拦截计算机的445端口来防御利用该漏洞发起的攻击。
虽然这个令人讨厌的SMBv3 RCE的PoC还没有发布,但还是建议每个机器管理员都实施一些预先防御措施(如上所述),因为几乎所有的漏洞信息都已经公开了。
微软也发布了一份安全建议,详细说明了如何禁用SMBv3压缩来保护服务器免受攻击。
你可以使用以下PowerShell命令禁用SMBv3服务的压缩(无需重新启动):
1 | Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force |
此外你还可以通过禁止SMB的流量流向外网来防御攻击。