微软泄漏了有关在服务器消息块3.0(SMBv3)网络通信协议中发现的“可蠕虫”的预身份验证远程代码执行漏洞的安全更新的信息,据报道,该漏洞应作为本月补丁星期二的一部分进行披露。
该漏洞是由于SMBv3处理恶意制作的压缩数据包时出现的错误而导致的,它允许未经身份验证的远程攻击者利用它在应用程序上下文中执行任意代码。
即使漏洞公告不是由Microsoft发布的(到目前为止,Redmond都没有发布有关此漏洞的解释),但Microsoft Active Protections计划中的许多安全供应商都可以尽早访问漏洞信息,但他们确实发布了有关被跟踪的安全漏洞的详细信息。CVE-2020-0796。
CVE-2020-0796 – a “wormable” SMBv3 vulnerability.
Great…
pic.twitter.com/E3uPZkOyQN— MalwareHunterTeam (@malwrhunterteam) March 10, 2020
台式机和服务器Windows 10版本受到影响
根据Fortinet通报,运行Windows 10 1903版,Windows Server 1903版(服务器核心安装),Windows 10 1909版和Windows Server 1909版(服务器核心安装)的设备受此漏洞的影响,尽管在给定更多版本的情况下, Windows 8和Windows Server 2012中引入了SMBv3。
Cisco Talos 在周二的Microsoft补丁报告中解释说: “攻击者可以通过向目标SMBv3服务器发送经特殊设计的数据包来利用此错误,受害者需要连接到该目标服务器。” Talos安全专家随后将其删除。
他们还补充说:“利用此漏洞使系统容易受到“可蠕虫”攻击,这意味着从受害者到受害者的转移很容易。
Fortinet说,成功利用CVE-2020-0796,它可以使远程攻击者完全控制易受攻击的系统。
由于微软的秘密,人们想出有关恶意软件及其严重性自己的理论,有些比较它与EternalBlue,NotPetya,WannaCry,或MS17-010(1,2)。
其他人已经开始提出该漏洞的名称,例如SMBGhost,DeepBlue 3:Redmond Drift,Bluesday,CoronaBlue和NexternalBlue。
可用的CVE-2020-0796缓解措施
在Microsoft发布旨在修补CVE-2020-0796 RCE漏洞的安全更新之前,Cisco Talos表示,禁用SMBv3压缩并阻止客户端计算机和防火墙上的445 TCP端口应会阻止尝试利用此漏洞的攻击。
虽然尚未发布针对此可感染SMBv3 RCE的概念验证漏洞,但我们建议实施Cisco Talos共享的缓解措施,直到Microsoft发布周期外安全更新以对其进行修复,直到看到几乎所有信息都已被修复为止。
If you’re Microsoft you basically have little choice now but to release the patch for 2020-0796 out-of-cycle as soon as it meets quality standards, right? There’s too much info out there to just hope somebody won’t find it before April.
Fun times for sysadmins everywhere.
— Brian in Pittsburgh (@arekfurt) March 10, 2020
更新: Microsoft发布了一份安全公告,其中详细介绍了如何禁用SMBv3压缩以保护服务器免遭利用尝试。
您可以使用以下PowerShell命令在SMBv3服务器上禁用压缩(无需重新启动,不会阻止利用SMB客户端):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
我可以采取什么步骤来保护我的网络?
1.在企业外围防火墙处阻止TCP端口445
TCP端口445用于启动与受影响组件的连接。在网络外围防火墙处阻止此端口将有助于保护位于防火墙后面的系统免受尝试利用此漏洞的尝试。这可以帮助保护网络免受源自企业外围的攻击。在企业范围内阻塞受影响的端口是帮助避免基于Internet的攻击的最佳防御方法。 但是,系统仍可能容易受到企业范围内的攻击。
2.遵循Microsoft准则以防止SMB流量离开公司环境
*编译:Domino
*来自:Bleeping