浅谈CVE-2020-0796远程内核代码执行漏洞
漏洞简介:
最新的Windows 10中,在处理SMB 3.1.1协议的压缩消息时,对头部数据没有做任何安全检查,直接使用,从而引发内存破坏漏洞。黑客无须任何权限,即可利用该漏洞实现远程内核代码执行。受黑客攻击的目标系统只需开机在线,即有可能被入侵。
腾讯安全团队研究发现,除了直接攻击SMB服务端造成任意代码执行外,该漏洞还存在于SMB客户端,这使得攻击者可以构造恶意的SMB服务器,并通过网页、压缩包、共享目录、OFFICE文档等多种方式传递给目标用户,触发漏洞进行攻击,即使目标机器已经禁用SMB压缩功能,甚至关闭了445端口,仍然会受到威胁,仍然会触发漏洞。
时间线:
2020-03-11 某厂家发布规则更新,疑似SMBv3严重漏洞
2020-03-11 360-CERT 跟进并发布改漏洞初步跟进说明
2020-03-12 微软正式更新CVE-2020-0796漏洞补丁
2020-03-12 360CERT更新预警
影响范围:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
几乎包括win10所有版本
漏洞危害:
1.利用office文档钓鱼
攻击者,批量发送office文档,从而控制任意电脑,以及服务器。
2.利用浏览器钓鱼
当浏览到恶意网站是,我们应该立即关掉浏览器,因为很可能是攻击者的外链。
3.利用文件夹投递
漏洞补丁:
参照:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
对于个人家用电脑的修复方法:
(1)打开powershell
(2)Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
(3)运行
此时我们的电脑就不会被检测出存在该漏洞,更不会被黑客利用了。
相关事件,华盟君依旧会持续关注。
推荐文章++++