歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

微軟發布針對SMBv3漏洞的安全更新,建議用戶盡快安裝

來源:本站整理 作者:佚名 時間:2020-03-13 TAG: 我要投稿

微軟發布了KB4551762安全更新,修復了在微軟服務器消息塊3.1.1(SMBv3)中發現的預授權RCE Windows 10漏洞。在2020年3月補丁星期二活動日披露了關于該漏洞的細節,兩天后公布安全更新。

根據微軟的說法,KB4551762安全更新(CVE-2020-0796)解決的是“網絡通信協議的問題,它提供共享訪問文件、打印機和串行端口”?梢酝ㄟ^Windows Update檢查更新或通過從Microsoft Update目錄手動下載Windows版本來安裝KB4551762安全更新 。
手動下載地址:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
微軟表示:“雖然我們沒有發現利用此漏洞的攻擊,但我們建議用戶盡快在受影響設備安裝此更新。”該漏洞被稱為SMBGhost或 EternalDarkness,僅影響運行Windows 10版本1903和1909以及Windows Server Core安裝版本1903和1909的設備。
微軟解釋,此漏洞僅存在于Windows 10版本1903中添加的一項新功能中,而舊版本的Windows不提供對SMBv3.1.1壓縮的支持,因此這個漏洞不影響舊版本。

SMBv3 RCE漏洞
在2020年3月的補丁程序星期二披露漏洞消息之后,Microsoft Active Protections計劃的部分安全供應商獲取漏洞細節時,微軟才披露CVE-2020-0796的詳細信息。
當時,微軟發布了一份公告,其中包含有關漏洞細節和緩解措施的詳情。在SMBv3中存在蠕蟲級的預授權RCE漏洞的消息傳開后,希望這份公告可以幫助用戶防范潛在攻擊。
在微軟 Server Message Block 3.1.1(SMBv3)協議處理某些請求時,他們意識到了遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以獲得在SMB服務器或SMB客戶端上執行代碼的能力。未經身份驗證的攻擊者要利用此漏洞攻擊SMB服務器,可以向SMBv3目標服務器發送特制數據包。而利用此漏洞攻擊SMB客戶端的,需要配置惡意的SMBv3服務器,并誘使用戶進行連接。
研究人員演示DoS和LPE概念驗證
網絡安全公司Kryptos Logic的研究人員發現了48000臺Windows 10主機容易受到CVE-2020-0796漏洞利用攻擊,并分享了由安全研究員Marcus Hutchins創建的拒絕服務概念驗證漏洞的演示視頻。
SophosLabs的Offensive Research團隊還開發并共享了一個本地特權升級概念驗證的漏洞利用演示視頻,該漏洞使具有低級特權的攻擊者可以獲得系統級特權。
Kryptos Logic表示:“即使不存在要分析的補丁程序,也很難發現SMB漏洞。”惡意攻擊者幾乎可以自己對CVE-2020-0796進行利用。
對于暫時無法應用此安全更新的管理員,微軟提供了針對SMB服務器的緩解措施,并建議使用此PowerShell命令禁用SMBv3壓縮(無需重新啟動,不會阻止SMB客戶端的利用):
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
此外,還建議企業客戶在企業外圍防火墻處阻止TCP端口445,防止試圖利用此漏洞對SMB服務器進行攻擊。
盡管到目前為止尚未檢測到針對Windows 10系統的惡意掃描,但仍要密切關注針對未打補丁設備的攻擊,因為已經開發出PoC漏洞利用并且漏洞分析較為簡單。
 

【聲明】:黑吧安全網(http://www.www.hfjixin.com)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱admin@www.hfjixin.com,我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        百度 好搜 搜狗

        警告:本站禁止未滿18周歲訪客瀏覽,如果當地法律禁止請自覺離開本站!收藏本站:請使用Ctrl+D進行收藏