微软3月补丁星期二最值得注意的是CVE-2020-0684和神秘0day CVE-2020-0796

最新推荐文章于 2024-03-13 09:41:56 发布
最新推荐文章于 2024-03-13 09:41:56 发布
阅读量1.4k 收藏
点赞数

聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

微软发布3月份补丁星期二,共修复了115个漏洞创历史新高,其中26个是“高危”级别的漏洞,最值得注意的是CVE-2020-0684CVE-2020-0796

CVE-2020-0684 RCE 漏洞

如果看似眼熟,是因为微软在上个月修复了一个几乎一样的 LNK 文件漏洞 (CVE-2020-0729) 补丁。

该漏洞存在于 Windows LNK 快捷文件中,当恶意 LNK 文件由 Windows OS 处理时就会导致恶意软件在系统上执行代码。

微软解释称,“攻击者会向用户展示一个可删除驱动或远程共享,其中包含一个恶意 .LNK 文件以及相关联的恶意二进制。当用户在 Windows Explore 中或任何解析 .LNK 文件的应用程序中打开该驱动(或远程共享)时,该恶意二进制就会在目标系统上执行受攻击者控制的代码。”

从微软的描述来看,该漏洞对于犯罪活动而言非常有用,可导致攻击者轻易地在用户设备上植入恶意软件。

SMBv3 0day 漏洞:CVE-2020-0796

CVE-2020-0796 是存在于微软服务器信息拦截 (SMB) 协议中的一个“可蠕虫”漏洞,实际上它并未包含在微软本月发布的补丁星期二中,而是不慎在补丁星期二的序言中泄露的。目前微软尚未发布任何技术详情,然而思科 Talos 团队和 Fortinet 公司提供了简短概述。目前尚不清楚该漏洞的补丁何时发布。

Fortinet 公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。”

思科 Talos 博客文章也给出了类似描述,不过随后将其删除。思科指出,“利用该漏洞可导致系统遭蠕虫攻击,也就是说漏洞可轻易地在受害者之间传播。”

对影响 SMB 的蠕虫 bug 发出的这些警告使得某些系统管理员脊背发凉,因为 SMB 就是助力 WannaCry 和 NotPetya 勒索软件通过蠕虫式行为于2017年春夏在全球范围内大肆传播的协议。

然而,目前该漏洞尚未对全球范围的组织机构带来危险。只有该漏洞的详情被泄露在网上,而并非真正的 exploit 代码,就像2017年那样。

尽管目前的信息泄露向某些恶意人员发出了 SMBv3 中存在重大漏洞的警告,但利用不会很快发生。另外,还有一些积极的地方,如这个新式“可蠕虫 SMB bug”仅影响仅存在于 Windows 新近版本中的最新版本 SMBv3。

更具体地讲,Fortinet 公司列出的受影响版本如下:

  • Windows 10 v1903

  • Windows 10 v1909

  • Windows Server v1903

  • Windows Server v1909

至少就目前而言尚不清楚如此严重的漏洞详情是如何以及为何会被泄露到网上。微软并未就此置评。

可能的解释有两种:一种牵涉通用漏洞报告框架 (CVRF) 和微软活跃防护程序 (MAPP),即微软和可信行业合作伙伴如杀软制造商和硬件供应商共享了将发布补丁的详情;微软可能共享了一些即将发布的漏洞列表,但随后从列表中删除了该 bug,导致一些厂商如思科 Talos 和 Fortinet 几乎没有更新安全公告的时间。

另一种理论是微软不慎将CVE-2020-0796 的信息通过微软 API 共享,而某些杀软厂商、系统管理员和记者正是通过该 API 收集补丁星期二信息;微软可能最初打算在本月发布该bug 的补丁,但随后未完成,然而却没有从 API 中删除该信息,最终导致该漏洞进入 Talos 和 Fortinet 的安全公告中。

微软并未说明何时将发布该漏洞补丁。因此思科 Talos 已删除的安全建议目前来看最可靠:“建议用户禁用 SMBv3 压缩并拦截防火墙和客户端计算机上的 TCP 端口445。”

由于所有人都知道这个 bug 的存在但无人能看到,因此某些安全研究员将该漏洞称为 “SMBGhost”。

推荐阅读

微软2月修复99个漏洞,含1个 0day

奇安信代码卫士帮助微软修复多个高危漏洞,获官方致谢和奖金

原文链接

https://www.zdnet.com/article/details-about-new-smb-wormable-bug-leak-in-microsoft-patch-tuesday-snafu/

https://www.zdnet.com/article/microsoft-march-2020-patch-tuesday-fixes-115-vulnerabilities/

https://www.zerodayinitiative.com/blog/2020/3/10/the-march-2020-security-update-review

题图:Pixabay License

文内图:ZDNet

本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 

    点个“在看”,一起玩耍

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞概述-0day漏洞利用原理(0)
AI
05-27 1961
0day专题对作者来说是一个很大的挑战,但无论有多难,作者会坚持进行大量的对新旧技术(精通二进制、汇编语言、操作系统底层的知识)实践并尽可能做到完善,最终利用技术发扬正能量。
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源。这篇文章将详细分享远控木马及APT攻击中的远控,包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多篇木马的文章,但这篇更多是讲解远控型木马,基础性文章,希望对您有所帮助~
CVE-2020-0796 漏洞复现
迷风小白
06-05 3259
0x00 漏洞介绍 2020年310日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。 0x01
微软3补丁星期二修复71个漏洞,其中3个是0day
smellycat000的专栏
03-09 309
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软发布三补丁星期二,修复了71个漏洞(不含21个微软 Edge漏洞),其中3个是0day漏洞。微软修复的漏洞如下:25个提权漏洞3个...
CVE-2020-0796
m_de_g的博客
10-08 6667
CVE-2020-0796(永恒之黑) 一.对应出现的版本 永恒之黑的对象为采用Windows 10 1903之后的所有终端节点,如Windows家用版、专业版、企业版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标,Windows 7不受影响。 原理为由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。 首先下载 CVE-2020
cve-2020-0796_【CVE20200796】漏洞复现
weixin_39644139的博客
11-30 651
一、漏洞简介该漏洞是服务器消息块3.1.1(SMBv3)协议中处理压缩消息时,对数据没有经过安全检查,直接使用会引发内存破坏,成功利用针对此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。利用针对服务器的漏洞,未经身份验证的攻击者可以将特制数据包发送到目标SMBv3服务器,若要利用针对客户端的漏洞,未经身份验证的攻击者需要配置恶意SMBv3服务器,并诱使用户连接到该服务器。二、...
cve-2020-0796
y@n1n的博客
03-05 220
一.漏洞概述 1.漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。 2.影响范围  适用于32位系统的Windows 10版本1903  Windows 10 1903版(用于基于x64的系统)  Windows 10 1903版(用于基于ARM64的系统)  Windows Server 1903版(服务器核
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年929日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
JDK14: JDK14新功能深度解析
小码农想做大架构的博客
10-21 751
主要七大特性 一.模式匹配instanceof(预览特性): 使用 instanceof,省去了在内部的类型转换,如下代码。 //新特性之前 @Test public void test1(){ Object obj=new String("hello,before JavaJdk14"); if (obj instanceof String){ String str =(String)obj; //必须显示的声明强制类型转换
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
CVE-2020-0796-POC.py
03-19
微软SMBv3远程代码执行漏洞(SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。
复现 CVE-2020-0796
m0_46580995的博客
08-01 231
CVE-2020-0796远程代码执行复现 影响范围 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Server Core installation) Windows 10 Version 1909 for 32-bit S
CVE-2020-0796复现(poc+exp)
1stPeak's Blog
07-14 1810
一、介绍 Microsoft服务器消息块3.1.1(SMBv3)协议处理某些请求的方式中存在一个远程代码执行漏洞,也就是"Windows SMBv3客户端/服务器远程代码执行漏洞"。 二、影响版本 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Vers
SMB远程代码执行漏洞CVE-2020-0796安全通告
qcloud_security的博客
03-13 965
【漏洞名称】 SMB远程代码执行漏洞(CVE-2020-0796),有安全研究者取名“SMBGhost”。 【漏洞描述】 微软311日发布3例行更新,其中并未公布编号为CVE-2020-0796的高危漏洞资料,但该漏洞却最为引人注目。次日晚(2020年312日)微软正式发布CVE-2020-0796高危漏洞补丁。 SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检...
CVE-2020-0796漏洞复现
m0_65764670的博客
03-13 672
此漏洞为基于win10 1903基于底层smb的3.1.1版本漏洞("SMB"代表"Server Message Block",是一种用于在计算机之间共享文件、打印机和其他资源的通信协议),此漏洞靶机需开445端口,如未开445端口则无法进行实验。
SMB-2
H2SO2的专栏
05-14 1363
Samba服务工作原理Samba服务工作原理Samba服务的具体工作过程如图所示。① 首先客户端发送一个SMB negprot请求数据报,并列出它所支持的所有SMB协议版本。服务器收到请求信息后响应请求,并列出希望使用的协议版本。如果没有可使用的协议版本则返回0XFFFFH,结束通信。② 协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SesssetupX请求
CVE-2020-0796,又是一场补丁攻坚战
03-16 1597
每年真正比较有影响力的漏洞编号,其实并不多,而这个CVE-2020-0796,就是我们在疫情之下全面返岗伊始,最值得去重视的一个。2020年312日晚...
CVE-2020-0796复现漏洞
s1056481432的博客
07-23 455
文章目录1.漏洞介绍2.漏洞复现 1.漏洞介绍 1.背景: 微软最近宣布了SMBv3.1.1压缩机制中的一个bug。这个bug也被称为“SMBGhost”。这个错误在托管网络中有严重的影响。Windows 10版本1903和1909受到影响。 在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。
CVE-2020-0796补丁
最新发布
07-03
要了解CVE-2020-0796的具体细节,比如它影响的是哪个软件、其影响范围和严重程度,以及如何下载和应用补丁,你需要查看相关的官方公告、厂商发布的安全更新说明或者是网络安全专业网站的报告。如果你的操作系统或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值