微軟釋出了KB4551762安全更新,修複了在微軟伺服器消息塊3.1.1(SMBv3)中發現的Windows 10 RCE漏洞。在2020年3月更新檔星期二活動日披露了關于該漏洞的細節,兩天後公布安全更新。
根據微軟的說法,KB4551762安全更新(CVE-2020-0796)解決的是“網絡通信協定的問題,它提供共享通路檔案、列印機和串行端口”。可以通過Windows Update檢查更新或通過從Microsoft Update目錄手動下載下傳Windows版本來安裝KB4551762安全更新 。
手動下載下傳位址:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
微軟表示:“雖然我們沒有發現利用此漏洞的攻擊,但我們建議使用者盡快在受影響裝置安裝此更新。”該漏洞被稱為SMBGhost或 EternalDarkness,僅影響運作Windows 10版本1903和1909以及Windows Server Core安裝版本1903和1909的裝置。
微軟解釋,此漏洞僅存在于Windows 10版本1903中添加的一項新功能中,而舊版本的Windows不提供對SMBv3.1.1壓縮的支援,是以這個漏洞不影響舊版本。
SMBv3 RCE漏洞
在2020年3月的更新檔程式星期二披露漏洞消息之後,Microsoft Active Protections計劃的部分安全供應商擷取漏洞細節時,微軟才披露CVE-2020-0796的詳細資訊。
當時,微軟釋出了一份公告,其中包含有關漏洞細節和緩解措施的詳情。在SMBv3中存在蠕蟲級的預授權RCE漏洞的消息傳開後,希望這份公告可以幫助使用者防範潛在攻擊。
在微軟 Server Message Block 3.1.1(SMBv3)協定處理某些請求時,他們意識到了遠端執行代碼漏洞。成功利用此漏洞的攻擊者可以獲得在SMB伺服器或SMB用戶端上執行代碼的能力。未經身份驗證的攻擊者要利用此漏洞攻擊SMB伺服器,可以向SMBv3目标伺服器發送特制資料包。而利用此漏洞攻擊SMB用戶端的,需要配置惡意的SMBv3伺服器,并誘使使用者進行連接配接。
研究人員示範DoS和LPE概念驗證
網絡安全公司Kryptos Logic的研究人員發現了48000台Windows 10主機容易受到CVE-2020-0796漏洞利用攻擊,并分享了由安全研究員Marcus Hutchins建立的拒絕服務概念驗證漏洞的示範視訊。https://v.qq.com/x/page/f0933f4pkrx.html
SophosLabs的Offensive Research團隊還開發并共享了一個本地特權更新概念驗證的漏洞利用示範視訊,該漏洞使具有低級特權的攻擊者可以獲得系統級特權。
https://v.qq.com/x/page/l0933zw7k5v.html
Kryptos Logic表示:“即使不存在要分析的更新檔程式,也很難發現SMB漏洞。”惡意攻擊者幾乎可以自己對CVE-2020-0796進行利用。
對于暫時無法應用此安全更新的管理者,微軟提供了針對SMB伺服器的緩解措施,并建議使用此PowerShell指令禁用SMBv3壓縮(無需重新啟動,不會阻止SMB用戶端的利用):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force 複制
此外,還建議企業客戶在企業外圍防火牆處阻止TCP端口445,防止試圖利用此漏洞對SMB伺服器進行攻擊。
盡管到目前為止尚未檢測到針對Windows 10系統的惡意掃描,但仍要密切關注針對未打更新檔裝置的攻擊,因為已經開發出PoC漏洞利用并且漏洞分析較為簡單。
*參考來源:Bleepingcomputer,Sandra1432編譯,轉載請注明來自FreeBuf.COM