安全動態(tài)

微軟發(fā)布針對SMBv3漏洞的安全更新,建議用戶盡快安裝

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-03-13    瀏覽次數(shù):
 

信息來源:FreeBuf

微軟發(fā)布了KB4551762安全更新,修復(fù)了在微軟服務(wù)器消息塊3.1.1(SMBv3)中發(fā)現(xiàn)的預(yù)授權(quán)RCE Windows 10漏洞。在2020年3月補(bǔ)丁星期二活動日披露了關(guān)于該漏洞的細(xì)節(jié),兩天后公布安全更新。

根據(jù)微軟的說法,KB4551762安全更新(CVE-2020-0796)解決的是“網(wǎng)絡(luò)通信協(xié)議的問題,它提供共享訪問文件、打印機(jī)和串行端口”。可以通過Windows Update檢查更新或通過從Microsoft Update目錄手動下載Windows版本來安裝KB4551762安全更新 。

手動下載地址:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

微軟表示:“雖然我們沒有發(fā)現(xiàn)利用此漏洞的攻擊,但我們建議用戶盡快在受影響設(shè)備安裝此更新?!痹撀┒幢环Q為SMBGhost或 EternalDarkness,僅影響運(yùn)行Windows 10版本1903和1909以及Windows Server Core安裝版本1903和1909的設(shè)備。

微軟解釋,此漏洞僅存在于Windows 10版本1903中添加的一項新功能中,而舊版本的Windows不提供對SMBv3.1.1壓縮的支持,因此這個漏洞不影響舊版本。

SMBv3 RCE漏洞

在2020年3月的補(bǔ)丁程序星期二披露漏洞消息之后,Microsoft Active Protections計劃的部分安全供應(yīng)商獲取漏洞細(xì)節(jié)時,微軟才披露CVE-2020-0796的詳細(xì)信息。

當(dāng)時,微軟發(fā)布了一份公告,其中包含有關(guān)漏洞細(xì)節(jié)和緩解措施的詳情。在SMBv3中存在蠕蟲級的預(yù)授權(quán)RCE漏洞的消息傳開后,希望這份公告可以幫助用戶防范潛在攻擊。

在微軟 Server Message Block 3.1.1(SMBv3)協(xié)議處理某些請求時,他們意識到了遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以獲得在SMB服務(wù)器或SMB客戶端上執(zhí)行代碼的能力。未經(jīng)身份驗證的攻擊者要利用此漏洞攻擊SMB服務(wù)器,可以向SMBv3目標(biāo)服務(wù)器發(fā)送特制數(shù)據(jù)包。而利用此漏洞攻擊SMB客戶端的,需要配置惡意的SMBv3服務(wù)器,并誘使用戶進(jìn)行連接。

對于暫時無法應(yīng)用此安全更新的管理員,微軟提供了針對SMB服務(wù)器的緩解措施,并建議使用此PowerShell命令禁用SMBv3壓縮(無需重新啟動,不會阻止SMB客戶端的利用):

Set-ItemProperty -Path 

"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -TypeDWORD -Value1-Force

此外,還建議企業(yè)客戶在企業(yè)外圍防火墻處阻止TCP端口445,防止試圖利用此漏洞對SMB服務(wù)器進(jìn)行攻擊。

盡管到目前為止尚未檢測到針對Windows 10系統(tǒng)的惡意掃描,但仍要密切關(guān)注針對未打補(bǔ)丁設(shè)備的攻擊,因為已經(jīng)開發(fā)出PoC漏洞利用并且漏洞分析較為簡單。



 
 

上一篇:工信部公布“2019年國家新型工業(yè)化產(chǎn)業(yè)示范基地(數(shù)據(jù)中心)”名單

下一篇:2020年03月13日 聚銘安全速遞