信息來源:FreeBuf
微軟發(fā)布了KB4551762安全更新,修復(fù)了在微軟服務(wù)器消息塊3.1.1(SMBv3)中發(fā)現(xiàn)的預(yù)授權(quán)RCE Windows 10漏洞。在2020年3月補(bǔ)丁星期二活動日披露了關(guān)于該漏洞的細(xì)節(jié),兩天后公布安全更新。
根據(jù)微軟的說法,KB4551762安全更新(CVE-2020-0796)解決的是“網(wǎng)絡(luò)通信協(xié)議的問題,它提供共享訪問文件、打印機(jī)和串行端口”。可以通過Windows Update檢查更新或通過從Microsoft Update目錄手動下載Windows版本來安裝KB4551762安全更新 。
手動下載地址:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
微軟表示:“雖然我們沒有發(fā)現(xiàn)利用此漏洞的攻擊,但我們建議用戶盡快在受影響設(shè)備安裝此更新?!痹撀┒幢环Q為SMBGhost或 EternalDarkness,僅影響運(yùn)行Windows 10版本1903和1909以及Windows Server Core安裝版本1903和1909的設(shè)備。
微軟解釋,此漏洞僅存在于Windows 10版本1903中添加的一項新功能中,而舊版本的Windows不提供對SMBv3.1.1壓縮的支持,因此這個漏洞不影響舊版本。
SMBv3 RCE漏洞
在2020年3月的補(bǔ)丁程序星期二披露漏洞消息之后,Microsoft Active Protections計劃的部分安全供應(yīng)商獲取漏洞細(xì)節(jié)時,微軟才披露CVE-2020-0796的詳細(xì)信息。
當(dāng)時,微軟發(fā)布了一份公告,其中包含有關(guān)漏洞細(xì)節(jié)和緩解措施的詳情。在SMBv3中存在蠕蟲級的預(yù)授權(quán)RCE漏洞的消息傳開后,希望這份公告可以幫助用戶防范潛在攻擊。
在微軟 Server Message Block 3.1.1(SMBv3)協(xié)議處理某些請求時,他們意識到了遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以獲得在SMB服務(wù)器或SMB客戶端上執(zhí)行代碼的能力。未經(jīng)身份驗證的攻擊者要利用此漏洞攻擊SMB服務(wù)器,可以向SMBv3目標(biāo)服務(wù)器發(fā)送特制數(shù)據(jù)包。而利用此漏洞攻擊SMB客戶端的,需要配置惡意的SMBv3服務(wù)器,并誘使用戶進(jìn)行連接。
對于暫時無法應(yīng)用此安全更新的管理員,微軟提供了針對SMB服務(wù)器的緩解措施,并建議使用此PowerShell命令禁用SMBv3壓縮(無需重新啟動,不會阻止SMB客戶端的利用):
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -TypeDWORD -Value1-Force
此外,還建議企業(yè)客戶在企業(yè)外圍防火墻處阻止TCP端口445,防止試圖利用此漏洞對SMB服務(wù)器進(jìn)行攻擊。
盡管到目前為止尚未檢測到針對Windows 10系統(tǒng)的惡意掃描,但仍要密切關(guān)注針對未打補(bǔ)丁設(shè)備的攻擊,因為已經(jīng)開發(fā)出PoC漏洞利用并且漏洞分析較為簡單。