SMBGhost:一个SMB的RCE幽灵漏洞。

点击蓝字

黑鸟情报局

近日,一个SMB协议漏洞CVE-2020-0796再次炸锅安全圈,有趣的是,刚过去的微软星期二补丁日,补丁列表上面居然没有CVE-2020-0796这个漏洞编号,国外安全研究员直接给他起了个名字叫SMBGhost,还有的叫做CoronaBlue,因为是新冠..

来龙去脉,我来给你捋一捋。

万恶之源来自思科talos的博客,上面发布了关于例行补丁日修复的漏洞的检测规则。

结果里面出现了CVE-2020-0796,一个本不应该出现在补丁日的漏洞编号。

而其中漏洞描述称,这是一个存在于SMB v3的远程代码执行漏洞,攻击者可以通过利用该漏洞,向存在漏洞的受害主机的SMBv服务发送一个特殊构造的数据包即可远程执行任意代码,甚至是可以造成蠕虫攻击,也就是很有可能成为下一个Wannacry。

PS:SMB(全称是Server Message Block)是一个协议名,可用于在计算机间共享文件、打印机、串口等,电脑上的网上邻居就是靠它实现的。

随后思科在将该条例删除后,删除的原因很简单,因为这个漏洞,微软压根还没修复。

Fortiguard也出来发通告,并告知了漏洞影响版本,仅影响Windows 10 1903版本之后还有Windows Server 1903版本之后。

后续微软也发通告

解决方案

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

禁用SMBv3压缩

您可以使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞。


Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

笔记:

  1. 进行更改后,无需重新启动。

  2. 此解决方法不能防止利用SMB客户端。

您可以使用下面的PowerShell命令禁用解决方法。

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

微软补丁正在路上,等待快递到来。

相关链接:https://fortiguard.com/encyclopedia/ips/48773

github有人发了关于受害主机的nmap扫描脚本

#!/bin/bash
if [ $# -eq 0 ]
  then
    echo $'Usage:\n\tcheck-smb-v3.11.sh TARGET_IP_or_CIDR {Target Specification - Nmap}'
    exit 1
fi

echo "Checking if there's SMB v3.11 in" $1 "..."

nmap -p445 --script smb-protocols -Pn -n $1 | grep -P '\d+\.\d+\.\d+\.\d+|^\|.\s+3.11' | tr '\n' ' ' | tr 'Nmap scan report for' '@' | tr "@" "\n" | tr '|' ' ' | tr '_' ' ' | grep -oP '\d+\.\d+\.\d+\.\d+'

if [[ $? != 0 ]]; then
    echo "There's no SMB v3.11"
fi

https://gist.github.com/nikallass/40f3215e6294e94cde78ca60dbe07394

点个赞,每日一个威胁情报故事

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值