摘要:3月12日,微软正式发布安全补丁公告披露了一个最新的SMBv3远程代码执行漏洞(CVE-2020-0796),攻击者利用该漏洞无须任何权限即可实现远程代码执行。 深信服终端安全检测响应平台EDR,已完成漏洞规则库的紧急更新,支持该漏洞的检测及补丁分发。
3月12日,微软正式发布安全补丁公告披露了一个最新的SMBv3远程代码执行漏洞(CVE-2020-0796),攻击者利用该漏洞无须任何权限即可实现远程代码执行。 该漏洞类似于永恒之蓝,存在被蠕虫化利用从而导致规模受攻击可能,深信服千里目安全实验室建议广大用户务必及时更新安全补丁,加强攻击防御。
据了解,Microsoft服务器消息块(SMB)协议是Microsoft Windows中使用的一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。
Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。
利用该漏洞,黑客可直接远程攻击SMB服务端远程执行任意恶意代码,亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。
目前受影响的Microsoft版本如下,相关用户需高度关注并及时修复漏洞:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
由于此漏洞危害大,且漏洞信息已快速传播,深信服千里目安全实验室建议用户尽快安装安全更新补丁,并做好相应的防御措施:
1.漏洞检测
建议用户通过漏洞检测工具对网络中的漏洞威胁进行排查。
深信服云眼已完成检测更新,可对用户线上服务器进行探测,保障用户业务安全。如需检测互联网业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费体验。
深信服云镜同样在漏洞披露的第一时间即完成检测能力的发布,部署云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响。离线使用云镜的用户需下载离线更新包来获得漏洞检测能力。
2.漏洞修复
微软目前已发布针对此漏洞的安全更新补丁,深信服建议广大用户及时确认所用Windows版本,并下载对应版本安全补丁进行更新。
深信服终端安全检测响应平台EDR,已完成漏洞规则库的紧急更新,支持该漏洞的检测及补丁分发。EDR3.2.10及以上版本需要升级相应的SP包,更新漏洞补丁规则库版本到202031317395,即可检测漏洞并分发补丁进行漏洞修复。联网用户可直接在线更新, 离线升级包及漏洞补丁规则库已上传至深信服社区,有需要的用户请到深信服社区下载。
3.漏洞防御
建议用户更新安全设备相关防护策略,防范相关漏洞攻击。
深信服下一代防火墙AF已经更新漏洞规则库,相关用户更新至最新的安全防护规则,即可轻松抵御此高危风险。
深信服安全感知平台SIP同样可以检测利用该漏洞的攻击,并实时告警,同时可联动深信服下一代防火墙、深信服EDR等产品实现对攻击者IP的封堵。
深信服安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力。针对该漏洞,安全运营服务提供漏洞检查、安全设备策略检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
个人用户也可通过手动修改注册表,防止被黑客远程攻击:运行regedit.exe,打开注册表编辑器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。