【漏洞名稱】
SMB遠端程式碼執行漏洞(CVE-2020-0796),有安全研究者取名“SMBGhost”。
【漏洞描述】
微軟3月11日釋出3月例行更新,其中並未公佈編號為CVE-2020-0796的高危漏洞資料,但該漏洞卻最為引人注目。次日晚(2020年3月12日)微軟正式釋出CVE-2020-0796高危漏洞補丁。
SMB 3.1.1協議中處理壓縮訊息時,對其中資料沒有經過安全檢查,直接使用會引發記憶體破壞漏洞,可能被攻擊者利用遠端執行任意程式碼。
攻擊者利用該漏洞無須許可權即可實現遠端程式碼執行,受黑客攻擊的目標系統只需開機線上即可能被入侵。
該漏洞的後果十分接近永恆之藍系列,都利用Windows SMB漏洞遠端攻擊獲取系統最高許可權,WannaCry勒索蠕蟲就是利用永恆之藍系列漏洞攻擊工具製造的大災難。除了直接攻擊SMB服務端造成RCE外,該漏洞得亮點在於對SMB客戶端的攻擊,攻擊者可以構造特定的網頁,壓縮包,共享目錄,OFFICE文件等多種方式觸發漏洞進行攻擊。
該漏洞並未出現在微軟3月的例行更新列表,有國外安全廠商意外發布了有關該漏洞存在的訊息,隨後引發行業關注。
【漏洞版本】
漏洞不影響win7,漏洞影響Windows 10 1903之後的各個32位、64位版Windows,包括家用版、專業版、企業版、教育版。
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)
正是目前主流作業系統版本,在個人、企業環境應用廣泛。
【漏洞型別】
遠端程式碼執行
【漏洞等級】
高危
【編號】
CVE-2020-0796
【漏洞影響】
根據T-Sec網路資產風險監測系統(騰訊御知)提供的資料,目前全球範圍可能存在漏洞的SMB服務總量約10萬臺,直接暴露在公網,可能成為漏洞攻擊的首輪目標。
對於政府機構、企事業單位網路中採用Windows 10 1903之後的所有終端節點,均為潛在攻擊目標,黑客一旦潛入,可利用針對性的漏洞攻擊工具在內網擴散,綜合風險不亞於永恆之藍,WannaCry勒索蠕蟲就是利用永恆之藍系列漏洞攻擊工具製造的大災難。
【解決方案】
企業使用者:
1、推薦企業採用T-Sec 網路資產風險檢測系統(騰訊御知)全面檢測企業網路資產是否受安全漏洞影響。
T-Sec 網路資產風險檢測系統(騰訊御知)是一款自動探測企業網路資產並識別其風險的產品。可全方位監控企業網站、雲主機、小程式等資產存在的風險,包含弱口令檢測、Web 漏洞掃描、違規敏感內容檢測、網站篡改檢測、掛馬挖礦檢測等多類資產風險。
企業使用者可掃描以下二維碼,免費使用T-Sec 網路資產風險檢測系統(yuzhi.qq.com)。
2、T-Sec終端安全管理系統(騰訊御點)已率先升級,可攔截利用該漏洞的攻擊:
企業網管還可採用T-Sec終端安全管理系統(騰訊御點)的全網漏洞掃描修復功能,全網統一掃描、安裝KB4551762補丁。
部署T-Sec終端安全管理系統(騰訊御點)攔截病毒木馬入侵,更多資訊可參考連結:https://s.tencent.com/product/yd/index.html。
3、 推薦企業使用者部署T-Sec高階威脅檢測系統(騰訊御界)對黑客攻擊行為進行檢測。
T-Sec高階威脅檢測系統(騰訊御界),是基於騰訊安全能力、依託騰訊在雲和端的海量資料,研發出的獨特威脅情報和惡意檢測模型系統,該系統可及時有效檢測黑客對企業網路的各種入侵滲透攻擊風險。參考連結:https://cloud.tencent.com/product/nta
4、騰訊安全率先推出SMB遠端程式碼執行漏洞掃描工具,管理員使用該工具可遠端檢測全網終端是否存在安全漏洞。
為避免被攻擊者濫用,獲取SMB遠端程式碼漏洞掃描工具須申請,申請流程參考:
https://pc1.gtimg.com/softmgr/files/20200796.docx
5、企業使用者也可使用Windows 更新安裝補丁,在Windows設定中,點選“更新和安全”。
個人使用者
1、個人使用者也可直接執行Windows 更新,完成補丁的安裝。
2、個人使用者也可通過手動修改登錄檔,防止被黑客遠端攻擊:
執行regedit.exe,開啟登錄檔編輯器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一個名為DisableCompression的DWORD,值為1,禁止SMB的壓縮功能。
【時間線】
1、2020年3月11日,國外某廠家釋出規則更新,披露疑似SMB嚴重漏洞;
2、微軟釋出臨時緩解方案:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
3、2020年3月11日,騰訊電腦管家官微釋出“CVE-2020-0796:疑似微軟SMB協議‘蠕蟲級’漏洞初步通告”;
4、2020年3月12日23點,微軟官方釋出CVE-2020-0796安全公告;
5、2020年3月12日,騰訊安全釋出遠端無損檢測工具。
參考連結:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796