关于永恒之黑(CVE-2020-0796)的安全通报
(2020 年6 月)
一、漏洞描述
近日,微软发布了SMBv3协议远程代码执行漏洞,国外研究员在近日放出了该漏洞的 POC ,黑客可以利用漏洞验证工具POC对此漏洞进行复现,漏洞影响范围扩大。
二、漏洞危害
危害等级高,攻击者利用此漏洞,可造成远程代码执行。
MicrosoftServer Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞。攻击者可以精心构造数据包发送到SMB服务器,无需经过身份验证,即可在目标服务器上执行任意代码。攻击者可通过部署一台恶意SMB v3服务器,并诱导用户(客户端)连接到该服务器,一旦目标用户连接,即可在计算机上执行攻击者自定义的恶意代码。
由于上述漏洞与WannaCry(2017年5月“永恒之蓝”)漏洞较为相似,易被蠕虫利用传播恶意程序,可能会成为恶意软件和攻击者广泛利用的漏洞。
三、影响范围
受影响版本
Windows10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
不受影响版本
只影响Windows 10 1903之后的各个32位、64位版Windows,其他不受影响。
四、漏洞检测
版本检测
相关用户可通过版本检测的方法判断当前应用是否存在风险。
检查是否使用1903或1909操作系统版本:
1. 右键点击左下角Windows图标,选择“设置”;
2. 点击“系统”,选择左侧的“关于”选项卡;
3. 查看“Windows规格”中的“版本号”,如果版本号显示为1903或1909,则证明受此漏洞影响,建议立即安装补丁。
补丁检测
在受影响范围内的操作系统中,可执行以下命令查看补丁安装的情况。
打开CMD,执行:systeminfo | findstr KB4551762
命令执行结束后如果没有查询到KB4551762补丁,则该系统存在安全风险。
五、修复建议
安全建议
微软官方已针对该漏洞发布了安全补丁KB4551762,建议受影响用户开启系统自动更新安装该补丁进行防护。
注:由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。右键点击桌面左下角的Windows图标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况,确认其中是否包含“KB4551762”。
若出现未成功安装更新补丁的情况,可从官网下载离线安装包进行更新,下载链接如下:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
附:参考链接:
http://blog.nsfocus.net/poc-smbv3-0603/
联系我们:潘伟
邮箱:panwei@dingxinsec.com.cn
Henan DingXin Information Security
Service Co.,Ltd
河南鼎信信息安全等级测评有限公司
地址:郑州市郑东新区七里河南路75号意中大厦18层
电话:18603856066邮编:450001