点击蓝字关注
黑鸟情报局
近日,一个SMB协议漏洞CVE-2020-0796再次炸锅安全圈,有趣的是,刚过去的微软星期二补丁日,补丁列表上面居然没有CVE-2020-0796这个漏洞编号,国外安全研究员直接给他起了个名字叫SMBGhost,还有的叫做CoronaBlue,因为是新冠..
来龙去脉,我来给你捋一捋。
万恶之源来自思科talos的博客,上面发布了关于例行补丁日修复的漏洞的检测规则。
结果里面出现了CVE-2020-0796,一个本不应该出现在补丁日的漏洞编号。
而其中漏洞描述称,这是一个存在于SMB v3的远程代码执行漏洞,攻击者可以通过利用该漏洞,向存在漏洞的受害主机的SMBv服务发送一个特殊构造的数据包即可远程执行任意代码,甚至是可以造成蠕虫攻击,也就是很有可能成为下一个Wannacry。
PS:SMB(全称是Server Message Block)是一个协议名,可用于在计算机间共享文件、打印机、串口等,电脑上的网上邻居就是靠它实现的。
随后思科在将该条例删除后,删除的原因很简单,因为这个漏洞,微软压根还没修复。
Fortiguard也出来发通告,并告知了漏洞影响版本,仅影响Windows 10 1903版本之后还有Windows Server 1903版本之后。
后续微软也发通告
解决方案
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
禁用SMBv3压缩
您可以使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
笔记:
进行更改后,无需重新启动。
此解决方法不能防止利用SMB客户端。
您可以使用下面的PowerShell命令禁用解决方法。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
微软补丁正在路上,等待快递到来。
相关链接:https://fortiguard.com/encyclopedia/ips/48773
github有人发了关于受害主机的nmap扫描脚本
#!/bin/bash
if [ $# -eq 0 ]
then
echo $'Usage:\n\tcheck-smb-v3.11.sh TARGET_IP_or_CIDR {Target Specification - Nmap}'
exit 1
fi
echo "Checking if there's SMB v3.11 in" $1 "..."
nmap -p445 --script smb-protocols -Pn -n $1 | grep -P '\d+\.\d+\.\d+\.\d+|^\|.\s+3.11' | tr '\n' ' ' | tr 'Nmap scan report for' '@' | tr "@" "\n" | tr '|' ' ' | tr '_' ' ' | grep -oP '\d+\.\d+\.\d+\.\d+'
if [[ $? != 0 ]]; then
echo "There's no SMB v3.11"
fi
https://gist.github.com/nikallass/40f3215e6294e94cde78ca60dbe07394
点个赞,每日一个威胁情报故事