SMB遠端程式碼執行漏洞CVE-2020-0796安全通告
【漏洞名稱】
SMB遠端程式碼執行漏洞(CVE-2020-0796),有安全研究者取名“SMBGhost”。
【漏洞描述】
微軟3月11日釋出3月例行更新,其中並未公佈編號為CVE-2020-0796的高危漏洞資料,但該漏洞卻最為引人注目。次日晚(2020年3月12日)微軟正式釋出CVE-2020-0796高危漏洞補丁。
SMB 3.1.1協議中處理壓縮訊息時,對其中資料沒有經過安全檢查,直接使用會引發記憶體破壞漏洞,可能被攻擊者利用遠端執行任意程式碼。
攻擊者利用該漏洞無須許可權即可實現遠端程式碼執行,受黑客攻擊的目標系統只需開機線上即可能被入侵。
該漏洞的後果十分接近永恆之藍系列,都利用Windows SMB漏洞遠端攻擊獲取系統最高許可權,WannaCry勒索蠕蟲就是利用永恆之藍系列漏洞攻擊工具製造的大災難。除了直接攻擊SMB服務端造成RCE外,該漏洞得亮點在於對SMB客戶端的攻擊,攻擊者可以構造特定的網頁,壓縮包,共享目錄,OFFICE文件等多種方式觸發漏洞進行攻擊。
該漏洞並未出現在微軟3月的例行更新列表,有國外安全廠商意外發布了有關該漏洞存在的訊息,隨後引發行業關注。
【漏洞版本】
漏洞不影響win7,漏洞影響Windows 10 1903之後的各個32位、64位版Windows,包括家用版、專業版、企業版、教育版。
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)
正是目前主流作業系統版本,在個人、企業環境應用廣泛。
【漏洞型別】
遠端程式碼執行
【漏洞等級】
高危
【編號】
CVE-2020-0796
【漏洞影響】
根據T-Sec網路資產風險監測系統(騰訊御知)提供的資料,目前全球範圍可能存在漏洞的SMB服務總量約10萬臺,直接暴露在公網,可能成為漏洞攻擊的首輪目標。
對於政府機構、企事業單位網路中採用Windows 10 1903之後的所有終端節點,均為潛在攻擊目標,黑客一旦潛入,可利用針對性的漏洞攻擊工具在內網擴散,綜合風險不亞於永恆之藍,WannaCry勒索蠕蟲就是利用永恆之藍系列漏洞攻擊工具製造的大災難。
【解決方案】
企業使用者:
1、推薦企業採用T-Sec 網路資產風險檢測系統(騰訊御知)全面檢測企業網路資產是否受安全漏洞影響。
T-Sec 網路資產風險檢測系統(騰訊御知)是一款自動探測企業網路資產並識別其風險的產品。可全方位監控企業網站、雲主機、小程式等資產存在的風險,包含弱口令檢測、Web 漏洞掃描、違規敏感內容檢測、網站篡改檢測、掛馬挖礦檢測等多類資產風險。
企業使用者可掃描以下二維碼,免費使用T-Sec 網路資產風險檢測系統(yuzhi.qq.com)。
2、T-Sec終端安全管理系統(騰訊御點)已率先升級,可攔截利用該漏洞的攻擊:
企業網管還可採用T-Sec終端安全管理系統(騰訊御點)的全網漏洞掃描修復功能,全網統一掃描、安裝KB4551762補丁。
部署T-Sec終端安全管理系統(騰訊御點)攔截病毒木馬入侵,更多資訊可參考連結:https://s.tencent.com/product/yd/index.html。
3、 推薦企業使用者部署T-Sec高階威脅檢測系統(騰訊御界)對黑客攻擊行為進行檢測。
T-Sec高階威脅檢測系統(騰訊御界),是基於騰訊安全能力、依託騰訊在雲和端的海量資料,研發出的獨特威脅情報和惡意檢測模型系統,該系統可及時有效檢測黑客對企業網路的各種入侵滲透攻擊風險。參考連結:https://cloud.tencent.com/product/nta
4、騰訊安全率先推出SMB遠端程式碼執行漏洞掃描工具,管理員使用該工具可遠端檢測全網終端是否存在安全漏洞。
為避免被攻擊者濫用,獲取SMB遠端程式碼漏洞掃描工具須申請,申請流程參考:
https://pc1.gtimg.com/softmgr/files/20200796.docx
5、企業使用者也可使用Windows 更新安裝補丁,在Windows設定中,點選“更新和安全”。
個人使用者
1、個人使用者也可直接執行Windows 更新,完成補丁的安裝。
2、個人使用者也可通過手動修改登錄檔,防止被黑客遠端攻擊:
執行regedit.exe,開啟登錄檔編輯器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一個名為DisableCompression的DWORD,值為1,禁止SMB的壓縮功能。
【時間線】
1、2020年3月11日,國外某廠家釋出規則更新,披露疑似SMB嚴重漏洞;
2、微軟釋出臨時緩解方案:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
3、2020年3月11日,騰訊電腦管家官微釋出“CVE-2020-0796:疑似微軟SMB協議‘蠕蟲級’漏洞初步通告”;
4、2020年3月12日23點,微軟官方釋出CVE-2020-0796安全公告;
5、2020年3月12日,騰訊安全釋出遠端無損檢測工具。
參考連結:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
相關文章
- Windows MSHTML遠端程式碼執行漏洞風險通告更新,騰訊安全支援全面檢測攔截WindowsHTML
- ThinkPHP遠端程式碼執行漏洞PHP
- phpunit 遠端程式碼執行漏洞PHP
- Joomla遠端程式碼執行漏洞分析OOM
- OpenWRT 曝遠端程式碼執行漏洞
- 高危!Fastjson反序列化遠端程式碼執行漏洞風險通告,請儘快升級ASTJSON
- 最新漏洞:Spring Framework遠端程式碼執行漏洞SpringFramework
- RCE(遠端程式碼執行漏洞)原理及漏洞利用
- 什麼是遠端程式碼執行漏洞?
- ThinkPHP 5.0.23 遠端程式碼執行漏洞PHP
- Apache Log4j2遠端程式碼執行漏洞風險緊急通告,騰訊安全支援全面檢測攔截Apache
- 【安全公告】PHP多個遠端程式碼執行漏洞風險預警PHP
- Discuz! X系列遠端程式碼執行漏洞分析
- .NET Remoting 遠端程式碼執行漏洞探究REM
- crash_for_windows_pkg遠端程式碼執行漏洞Windows
- WindowsJScript元件曝遠端程式碼執行漏洞WindowsJS元件
- 修復Apache Log4j任意程式碼執行漏洞安全風險通告Apache
- Apache Struts 再曝高危遠端程式碼執行漏洞Apache
- Struts2遠端程式碼執行漏洞預警
- VxWorks釋出安全更新修復多個高危遠端程式碼執行漏洞
- Log4j遠端程式碼執行漏洞漫談
- Windows SMB Ghost(CVE-2020-0796)漏洞分析Windows
- Windows遠端桌面服務漏洞預警通告Windows
- 網站漏洞檢測 squid反向代理存在遠端程式碼執行漏洞網站UI
- [漏洞預警]Laravel <= 8.4.2 Debug模式 _ignition 遠端程式碼執行漏洞Laravel模式
- Steam客戶端發現遠端程式碼執行漏洞:已放補丁客戶端
- 【安全公告】Spring Core遠端命令執行漏洞預警Spring
- Apache SSI 遠端命令執行漏洞Apache
- Apache log4j2 遠端程式碼執行漏洞復現?Apache
- Apache Solr應用伺服器存在遠端程式碼執行漏洞?ApacheSolr伺服器
- 高危漏洞!Apache Log4j 遠端程式碼執行漏洞(附修復建議)Apache
- OGNL設計及使用不當造成的遠端程式碼執行漏洞
- 國家漏洞庫CNNVD:關於微信Windows客戶端遠端程式碼執行漏洞的預警CNNWindows客戶端
- WordPress 3.5.1遠端程式碼執行EXP
- PHPMailer遠端命令執行漏洞復現PHPAI
- Struts2遠端程式碼執行漏洞檢測的原理和程式碼級實現
- Windows漏洞:MS08-067遠端程式碼執行漏洞復現及深度防禦Windows
- Chrome 77釋出,修復遠端程式碼執行漏洞!請儘快更新!Chrome