CVE-2020-0796蓝屏POC 漏洞复现

微软SMBv3远程代码执行漏洞(CVE-2020-0796)

1、漏洞描述

          微软SMBv3远程代码执行漏洞(SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。

2、影响范围

         该漏洞不影响Windows7,漏洞影响Windows10 1903之后的32位、64位Windows版本,包括家用版、专业版、企业版、教育版。具体列表如下:

        Windows 10 Version 1903 for 32-bit Systems

        Windows 10 Version 1903 for x64-based Systems

        Windows 10 Version 1903 for ARM64-based Systems

        Windows Server, Version 1903 (Server Core installation)

        Windows 10 Version 1909 for 32-bit Systems

        Windows 10 Version 1909 for x64-based Systems

        Windows 10 Version 1909 for ARM64-based Systems

        Windows Server, Version 1909 (Server Core installation)

3、漏洞类型

        远程代码执行

4、漏洞等级

        高危

5、环境搭建

      在虚拟机中搭建Windows 10 1909系统来进行复现。

6、蓝屏复现

      通过Python执行POC脚本进行攻击Windows 10。

      视频演示:https://www.bilibili.com/video/av97457537/

      POC下载链接:https://download.csdn.net/download/ltt440888/12255558

7、防护方案

       1)直接运行Windows更新,完成Windows10 2020年3月累积更新补丁的安装。

       操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。

       2)也可以访问微软该漏洞官方页面(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796),选择相应Windows版本的安全更新,独立安装该漏洞安全补丁。

       3)也可以通过手动修改注册表,防止被黑客远程攻击:

        管理员模式启动PowerShell,将以下命令复制到Powershell命令行,执行即可

        Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

        若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/ 445);

       4)也可以通过安全厂商的漏洞检验和修复工具来检查是否存在漏洞和进行漏洞修复。

        详细漏洞信息与措施,请参考此处https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
CVE-2020-0796漏洞,也被称为"SMBGhost",是一个影响微软Windows操作系统的严重漏洞。该漏洞存在于Windows 10版本1903和1909之间的SMBv3协议中,攻击者可以利用此漏洞执行远程代码,从而控制受感染的系统。 对CVE-2020-0796漏洞进行逆向分析是为了深入了解其工作原理及漏洞利用的具体细节。逆向分析通常包括静态和动态分析两个方面。 首先,静态分析是通过对漏洞程序的反汇编、分析源代码或查看二进制文件等方法来了解漏洞的工作原理。这可以帮助研究人员识别漏洞的关键功能、漏洞的出现位置以及可能的漏洞利用方式。 其次,动态分析是在虚拟化环境中或实际受感染的系统上运行漏洞程序,监视其行为并捕获关键信息。通过动态分析,研究人员能够观察到漏洞利用的具体过程,从而理解攻击者是如何利用漏洞来执行远程代码或获取系统权限的。 在逆向分析过程中,研究人员需要使用一些特定的工具,如反汇编器、调试器以及网络分析工具等。这些工具可以帮助研究人员获取漏洞程序的内部结构、系统调用、网络通信等关键信息,有助于理解漏洞的利用方式和脆弱点。 通过逆向分析CVE-2020-0796漏洞,能够帮助安全专业人员更好地理解漏洞的工作原理,从而开发相应的补丁或安全措施以防止攻击者利用该漏洞入侵系统。此外,逆向分析还有助于提高安全分析人员的能力和知识,进一步提升网络安全的整体水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值