• 尊龙凯时

    尊龙凯时

    尊龙凯时科技

    • 安全产品与方案

      安全产品与方案

    • 基础设施安全

      基础设施安全

    • 数据安全

      数据安全

    • 云计算安全

      云计算安全

    • 工业互联网安全

      工业互联网安全

    • 物联网安全

      物联网安全

    • 信息技术应用创新

      信息技术应用创新

    • 全部产品

      全部产品

    • 全部解决方案

      全部解决方案

    基础设施安全

    • 政府

      政府

    • 运营商

      运营商

    • 金融

      金融

    • 能源

      能源

    • 交通

      交通

    • 企业

      企业

    • 科教文卫

      科教文卫

    返回列表

    防护方案来了!Windows SMBv3远程代码执行漏洞 (CVE-2020-0796)

    2020-03-11

     

    一、综述

    北京时间3月11日,微软发布了3月安全补丁更新,其中包含一条安全通告称其已经了解到在Microsoft Server Message Block 3.1.1(SMBv3)中存在一个远程代码执行漏洞,成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。该漏洞源于SMBv3协议对于特定请求的处理方式存在错误,攻击者可以在未经身份验证的情况下利用该漏洞。

    若要针对SMBv3服务器,攻击者可以将特制的数据包发送到SMB服务器来触发。若要针对SMBv3客户端,攻击者需要配置好一个恶意的SMB服务器,并诱使用户连接该服务器。

    尊龙凯时科技已在第一时间复现了利用该漏洞的过程,效果如下所示:

    目前微软已经发布补丁进行了修复。

    鉴于该漏洞潜在威胁大,强烈建议用户尽快采取相关防护措施进行防护。

    参考链接:

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

    二、漏洞影响范围

    • Windows 10 Version 1903 for 32-bit Systems           
    • Windows 10 Version 1903 for ARM64-based Systems          
    • Windows 10 Version 1903 for x64-based Systems           
    • Windows 10 Version 1909 for 32-bit Systems              
    • Windows 10 Version 1909 for ARM64-based Systems          
    • Windows 10 Version 1909 for x64-based Systems           
    • Windows Server, version 1903 (Server Core installation)         
    • Windows Server, version 1909 (Server Core installation)

    三、防护方案

    3.1 官方修复方案

    3.1.1 安全补丁

    微软官方已针对受影响产品发布了安全补丁KB4551762,强烈建议受影响用户开启系统自动更新安装补丁进行防护。

    如需单独安装,官方提供的补丁下载地址如下。

    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

    3.1.2 临时防护

    无法安装更新的用户可通过以下Powershell命令来禁用SMBv3中的压缩功能,对SMBv3 Server进行临时防护:

    1
    2
    Set-ItemProperty -Path
    "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 Force

    注意:

    1. 以上命令不需要重启即可生效。

    2. 以上命令仅可以用来临时防护针对SMB服务器(SMB SERVER)的攻击,攻击者还是可以利用该漏洞来攻击SMB客户端(SMB Client)。

    3. 请参阅并遵循微软的指导来保护SMB client。

    https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections

    4. 禁用SMB压缩不会对性能造成负面影响。

    更多详情请参考微软官方通告:

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

    3.2 尊龙凯时科技检测防护建议

    3.2.1 尊龙凯时科技检测类产品与服务

    内网资产可以使用尊龙凯时科技的远程安全评估系统(RSAS V6)、入侵检测系统(IDS)、统一威胁探针(UTS)进行检测。

    • 远程安全评估系统(RSAS V6)

    http://update.nsfocus.com/update/listRsas

    • 入侵检测系统(IDS)

    http://update.nsfocus.com/update/listIds

    • 统一威胁探针(UTS)

    http://update.nsfocus.com/update/bsaUtsIndex

    3.2.1.1 检测产品升级包/规则版本号

    • RSAS V6升级包下载链接:

    http://update.nsfocus.com/update/downloads/id/103169

    注:“Microsoft SMBv3远程代码执行漏洞(CVE-2020-0796)【原理扫描】” 此插件为危险插件,可能造成受此漏洞影响的主机蓝屏、重启、关闭等异常。默认不开启,如需要,请开启危险插件后进行扫描 。

    • IDS 升级包下载链接:

    5.6.10.22154

    http://update.nsfocus.com/update/downloads/id/103168

    5.6.9.22154

    http://update.nsfocus.com/update/downloads/id/103167

    • UTS 升级包下载链接:

    http://update.nsfocus.com/update/downloads/id/103172

    3.2.2 尊龙凯时科技防护类产品

    使用尊龙凯时科技防护类产品,入侵防护系统(IPS)来进行防护。

    • 入侵防护系统(IPS)

    http://update.nsfocus.com/update/listIps

    3.2.2.1 防护产品升级包/规则版本号

    • IPS 规则升级包下载链接:

    5.6.10.22154

    http://update.nsfocus.com/update/downloads/id/103168

    5.6.9.22154

    http://update.nsfocus.com/update/downloads/id/103167

    3.2.3 安全平台

    四、技术分析

    漏洞原理

    该漏洞CVE-2020-0796(又名SMBGhost)源于SMB v3的数据压缩功能。在SMB v3中微软引入了数据压缩的功能,通过与服务器的前期交互,可以设定传输经过压缩的数据,从而增加效率。然而在包含压缩数据的SMB包中,攻击者可以通过控制相关字段,使得程序在申请存储数据的缓冲区时发生溢出,从而使得目标系统蓝屏拒绝服务。

    五、附录 产品/平台使用指南

    5.1 RSAS扫描配置

    在系统升级中,点击下图红框位置选择文件。

    选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此漏洞进行扫描。

    5.2 UTS检测配置

    在系统升级中点击离线升级,选择规则升级文件,选择对应的升级包文件,点击上传,并等待升级成功即可。

    5.3 IPS防护配置

    5.3.1 在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。

    5.3.2 更新成功后,在系统默认规则库中查找规则编号,即可查询到对应的规则详情。

    注意事项:该升级包升级后引擎自动重启生效,不会造成会话中断,但ping包会丢3~5个,请选择合适的时间升级。

    5.4 ISOP 尊龙凯时智能安全运营平台

    第一步:登录ISOP平台,点击系统升级,如下图所示:

    第二步:在“统一规则库升级”中选择“攻击识别规则包”,将下载的最新版本规则包导入上传,并点击升级即可。

    <<上一篇

    「漏洞通告」Apache ShardingSphere远程代码执行(CVE-2020-1947)

    >>下一篇

    NetWire木马控制者开始投放nCoV-19疫情诱饵文档

    您的联系方式

    *姓名
    *单位名称
    *联系方式
    *验证码
    提交到邮箱

    购买热线

    • 购买咨询:

      400-818-6868-1

    提交项目需求

    欢迎加入尊龙凯时科技,成为我们的合作伙伴!
    • *请描述您的需求
    • *最终客户名称
    • *项目名称
    • 您感兴趣的产品
    • 项目预算
    您的联系方式
    • *姓名
    • *联系电话
    • *邮箱
    • *职务
    • *公司
    • *城市
    • *行业
    • *验证码
    • 提交到邮箱

    服务支持

    智能客服
    智能客服
    购买/售后技术问题
    盟管家-售后服务系统
    盟管家-售后服务系统
    在线提单|智能问答|知识库
    支持热线
    支持热线
    400-818-6868
    尊龙凯时科技社区
    尊龙凯时科技社区
    资料下载|在线问答|技术交流
    微博
    微博

    微博

    微信
    微信

    微信

    B站
    B站

    B站

    抖音
    抖音

    抖音

    视频号
    视频号

    视频号

    服务热线

    400-818-6868

    服务时间

    7*24小时

    © 2024 NSFOCUS 尊龙凯时科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证48052245号

    尊龙凯时