cve - 2020 - 0796:“Wormable”远程代码执行漏洞在微软服务器消息块SMBv3 (ADV200005)
![](http://www.yyueer.com/sites/default/files/images/articles/TenableResearchCEAlertCritical_2.jpg)
关键应用补丁”wormable“远程代码执行(远端控制设备)漏洞在微软服务器消息块3.1.1 (SMBv3),被称为EternalDarkness,被微软披露。
更新03/13/2020:概念验证部分已经更新,以反映公众的一个利用脚本,可以触发一个脆弱的系统崩溃。
更新03/12/2020:分析、概念、解决方案和确定影响系统部分已经更新。微软发布了一个官方对cve - 2020 - 0796咨询包括一个安全补丁地址的缺陷。
背景
3月10日,微软发布ADV200005远端控制设备,一个顾问关键的漏洞在微软服务器消息块3.1.1 (SMBv3)。这个漏洞细节最初披露不小心在另一个安全厂商的博客周二3月份微软补丁。他们的博客文章发表后不久,供应商删除引用脆弱,但安全研究人员已经抓住了偶然的披露。
微软最终承认的弱点公开发表其咨询。
微软意识到一个远端控制设备漏洞的方式SMBv3协议处理特定的请求。如果你希望得到通知对于这个漏洞有更新可用时,请遵循指导咨询链接:https://t.co/x5Z658xQ6t
-安全响应(@msftsecresponse)2020年3月10日
分析
微软没有在ADV200005标识符分配一个CVE漏洞。然而,意外披露脆弱性识别它cve - 2020 - 0796,后来证实,3月12日当微软发布了一个带外更新。
根据微软,脆弱性存在于SMBv3处理特定的请求。SMBv3服务器,未经过身份验证的攻击者可以利用此漏洞通过发送一个数据包脆弱SMBv3服务器设计的比较特别的查询。SMBv3客户机,攻击者需要说服一个用户连接到一个恶意SMBv3服务器配置。
成功开发的漏洞给攻击者任意代码执行SMB服务器和SMB客户端。
基于入侵预防系统(IPS)规则FortiGuard实验室发布的的缺陷似乎源于一个缓冲区溢出漏洞,由于一个错误发生在压缩数据包的处理。
图片来源:Fortiguard实验室威胁百科全书
这一最新漏洞唤起的记忆EternalBlue,尤其是cve - 2017 - 0144,一个远端控制设备漏洞在微软SMBv1作为的一部分WannaCryransomware攻击。这当然是一个恰当的比较,以至于研究人员指EternalDarkness。然而,目前一些信息关于这个新的缺陷,并产生一个可行的开发所需的时间和精力是未知的。
没关系的官方Gossi叫EternalDarkness不超级奇怪的声音
——凯文·博蒙特(@GossiTheDog)2020年3月10日
概念验证
在这篇文章发表的时候,没有概念验证(PoC)公开。然而,一些研究人员发表以来PoC演示使用cve - 2020 - 0796创建一个拒绝服务条件和地方特权升级。
马库斯哈钦斯,研究员Kryptos逻辑,努力阻止著称的传播Wannacry ransomware,创建了一个概念验证演示一个拒绝服务利用导致cve - 2020 - 0796死亡的蓝色屏幕。
我们的研究团队将共享的新见解cve - 2020 - 0796。在那之前,这里是一个快速的DoS PoC研究员@MalwareTechBlog创建。的# SMB虫子似乎微不足道的识别,即使没有一个补丁来分析。https://t.co/7opHftyDh0@2sec4upic.twitter.com/0H7FYIxvne
——Kryptos逻辑(@kryptoslogic)2020年3月12日,
研究员SophosLabs也创建了一个概念验证使用cve - 2020 - 0796提升特权破坏系统。
MAPP成员从共享限制我们知道错误,直到微软发布了更新今早cve - 2020 - 0796。我们的进攻研究团队管理开发的概念验证利用利用缺陷的一种方法https://t.co/Yb6O7jhAHi
- SophosLabs (@SophosLabs)2020年3月12日,
3月13日,PoC利用脚本发布到GitHub能引发BSoD脆弱的系统上。存储库中的README文件指出,“进一步的工作,这可以发展成为一个远端控制设备利用。”
解决方案
以下版本的Microsoft Windows和Windows服务器的影响。
产品 | 版本 |
---|---|
Windows服务器 | 1903版本(服务器核心安装) |
Windows服务器 | 1909版本(服务器核心安装) |
Windows 10 | 1903年版本为32位系统 |
Windows 10 | 1903版本ARM64-based系统 |
Windows 10 | 1903版本x64-based系统 |
Windows 10 | 1909年版本为32位系统 |
Windows 10 | 1909版本ARM64-based系统 |
Windows 10 | 1909版本x64-based系统 |
3月12日微软发布了一个补丁来解决这个漏洞。我们强烈鼓励组织和用户尽快应用这些补丁。
微软最初提供解决方法说明的一部分他们最初的咨询3月11日。这些解决方法说明包括PowerShell命令禁用压缩SMBv3服务器阻止攻击者利用该漏洞。
除了禁用压缩,微软建议阻止入站和出站流量的TCP端口445上边界防火墙。计算机紧急反应小组协调中心(CERT / CC)还建议验证SMB来自互联网的连接”不允许入站连接到一个企业局域网。”
虽然这些解决方案将防止SMBv3服务器的开发,重要的是要注意,SMBv3客户仍将弱势直到应用补丁。
确定影响系统
站得住脚的插件的列表来确定这个漏洞将会出现在这里当他们被释放。
获得更多的信息
- 微软安全cve - 2020 - 0796咨询
- ADV200005:微软安全顾问SMBv3远程代码执行漏洞
- CERT协调中心的脆弱性,VU # 872016
- Microsoft知识库文章KB4551762
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。