|
2020年6月2日,有国外安全研究员公开了一份CVE-2020-0796 (别名:SMBGhost)漏洞的RCE代码。经腾讯安全团队分析,漏洞利用思路与先前国外安全团队披露的利用方式类似。由于本次公布的是漏洞利用源代码,使得漏洞利用风险骤然升级,被黑灰产修改即可用于网络攻击。 腾讯安全全系列安全产品已在今年3月份,微软补丁发布后的第二天全面支持对SMBGhost漏洞的检测、拦截。根据我们的研究,漏洞信息披露至今已近3个月,仍有近三分之一的系统未对漏洞做修复,存在严重安全隐患,漏洞可能影响政府机关、企事业单位及个人电脑用户,攻击者利用该漏洞可以制造与WannaCry勒索病毒类似的安全危机。 鉴于漏洞利用的源代码已经公开,腾讯安全团队第三次发布CVE-2020-0796安全通告,强烈建议用户尽快修复漏洞。 腾讯安全全系列产品应对SMB V3远程代码执行漏洞(CVE-2020-0796)的响应清单如下: | | | | | 基于网络流量进行威胁检测与主动拦截,已支持: [size=9.0000pt]1)支持拦截黑客利用CVE-2020-0796漏洞对云主机的网络攻击。 [size=9.0000pt] 有关云防火墙的更多信息,可参考:[size=9.0000pt]
https://cloud.tencent.com/product/cfw | 腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) | [size=9.0000pt]1)云镜已支持SMBG[size=9.0000pt]host(CVE-2020-0796[size=9.0000pt])漏洞的检测; [size=9.0000pt] | | 1)腾讯御知已支持监测全网资产是否受SMBGhost漏洞的影响。 [size=9.0000pt] | | 已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供SMBGhost漏洞相关的情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 [size=9.0000pt] | | | 基于网络流量进行威胁检测,已支持: 1)可检测利用SMBGhost漏洞的网络攻击活动 [size=9.0000pt] 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta | | 1)可检测、修复终端系统存在的SMBGhost漏洞; 2)可拦截利用SMBGhost漏洞的攻击数据包。 [size=9.0000pt] | | | 腾讯电脑管家可检测、修复SMBGhost漏洞 [size=9.0000pt] |
【漏洞名称】 SMB远程代码执行漏洞(漏洞编号:CVE-2020-0796),别名“SMBGhost”。 【漏洞描述】 2020年3月12日微软正式发布CVE-2020-0796高危漏洞补丁。 SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。 攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。 该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。 除了直接攻击SMB服务端造成RCE外,该漏洞得亮点在于对SMB客户端的攻击,攻击者可以构造特定的网页,压缩包,共享目录,OFFICE文档等多种方式触发漏洞进行攻击。 【漏洞版本】 漏洞影响Windows 10 1903之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。Windows 7不受影响。 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Server Core installation) Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1909 for ARM64-based Systems Windows Server, Version 1909 (Server Core installation) 【漏洞等级】高危 【漏洞影响】 对于政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点,均为潜在攻击目标。黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于永恒之蓝,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。 从漏洞公开至今近3个月,仍有近三分之一存在漏洞的系统未对该高危漏洞进行修补。 【解决方案】 企业用户: 1. 腾讯T-Sec云防火墙拦截黑客利用CVE-2020-0796漏洞对云主机的网络攻击。 2. 腾讯T-Sec主机安全系统(云镜)支持检测云主机是否受SMBGhost漏洞的影响。 3. 腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受该漏洞影响。
腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。
企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(yuzhi.qq.com)。 4. 企业用户可使用腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。 5. 企业终端可采用腾讯T-Sec终端安全管理系统(御点)拦截利用该漏洞的攻击:
企业网管还可采用腾讯T-Sec终端安全管理系统(御点)的全网漏洞扫描修复功能,全网统一扫描、安装KB4551762补丁。 6. 也可使用Windows 更新安装补丁,操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。 个人用户 1. 推荐个人用户采用腾讯电脑管家的漏洞扫描修复功能安装补丁,腾讯电脑管家同时为未安装管家的用户单独提供了SMB远程代码漏洞修复工具
2. 个人用户也可直接运行Windows 更新,完成补丁的安装。操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。
【时间线】 1. 2020年3月11日,国外某厂家发布规则更新,披露疑似SMB严重漏洞; 2. 2020年3月11日,微软发布临时缓解方案:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005 3. 2020年3月11日,腾讯电脑管家官微发布“CVE-2020-0796:疑似微软SMB协议‘蠕虫级’漏洞初步通告”; 4. 2020年3月12日晚,微软官方发布CVE-2020-0796安全公告; 5. 2020年3月12日晚,腾讯安全发布远程无损检测工具; 6. 2020年4月14日,国外研究者发布疑似漏洞利用EXP演示视频,并声称继续公布细节,腾讯安全团队随后发布SMB v3远程代码执行漏洞CVE-2020-0796安全通告更新; 7. 2020年6月2日,国外安全研究人员发布SMBGhost漏洞利用源代码,使漏洞利用风险骤然升级。
【参考链接】 CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability 史诗级漏洞!SMBv3远程代码执行漏洞CVE-2020-0796安全通告 CVE-2020-0796漏洞技术分析 SMBv3远程代码执行漏洞CVE-2020-0796安全通告更新
| 
发表于 2020-6-2 20:21:23
