查看: 2070|回复: 0
收起左侧

[技术原创] SMBGhost漏洞(CVE-2020-0796)利用源码公开,安全风险骤然升级

[复制链接]
腾讯电脑管家
发表于 2020-6-2 20:21:23 | 显示全部楼层 |阅读模式
2020年6月2日,有国外安全研究员公开了一份CVE-2020-0796 (别名:SMBGhost)漏洞的RCE代码经腾讯安全团队分析,漏洞利用思路与先前国外安全团队披露的利用方式类似由于本次公布的是漏洞利用源代码,使得漏洞利用风险骤然升级,黑灰产修改即可用于网络攻击。
腾讯安全全系列安全产品已在今年3微软补丁发布后的第二天全面支持SMBGhost漏洞的检测、拦截。根据我们的研究,漏洞信息披露至今已近3个月,仍有近三分之一的系统未对漏洞做修复,存在严重安全隐患,漏洞可能影响政府机关、企事业单位及个人电脑用户,攻击者利用该漏洞可以制造与WannaCry勒索病毒类似的安全危机。
鉴于漏洞利用的源代码已经公开,腾讯安全团队第三次发布CVE-2020-0796安全通告,强烈建议用户尽快修复漏洞。
腾讯安全全系列产品应对SMB V3远程代码执行漏洞(CVE-2020-0796)的响应清单如下:
应用场景
安全产品
解决方案
云原生安全
防护
云防火墙
(Cloud Firewall,CFW)
基于网络流量进行威胁检测与主动拦截,已支持:
[size=9.0000pt]1)支持拦截黑客利用CVE-2020-0796漏洞对云主机的网络攻击。
[size=9.0000pt]
有关云防火墙的更多信息,可参考:[size=9.0000pt]
https://cloud.tencent.com/product/cfw
腾讯T-Sec  主机安全
(Cloud Workload Protection,CWP)
[size=9.0000pt]1)云镜已支持SMBG[size=9.0000pt]host(CVE-2020-0796[size=9.0000pt])漏洞的检测;
[size=9.0000pt]
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
腾讯T-Sec 网络资产风险监测系统
(腾讯御知)
1)腾讯御知已支持监测全网资产是否受SMBGhost漏洞的影响。
[size=9.0000pt]
关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html
腾讯T-Sec 安全运营中心
已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供SMBGhost漏洞相关的情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。
[size=9.0000pt]
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
非云企业安全防护
腾讯T-Sec
高级威胁检测系统
(腾讯御界)
基于网络流量进行威胁检测,已支持:
1)可检测利用SMBGhost漏洞的网络攻击活动
[size=9.0000pt]
关于T-Sec高级威胁检测系统的更多信息,可参考:
https://cloud.tencent.com/product/nta
腾讯T-Sec终端安全管理系统(御点)
1)可检测、修复终端系统存在的SMBGhost漏洞;
2)可拦截利用SMBGhost漏洞的攻击数据包。
[size=9.0000pt]
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html
个人用户
腾讯电脑管家
腾讯电脑管家可检测、修复SMBGhost漏洞
[size=9.0000pt]
个人用户可访问[size=12.0000pt]http://guanjia.qq.com下载安装。
【漏洞名称】
SMB远程代码执行漏洞(漏洞编号:CVE-2020-0796),别名SMBGhost”。
【漏洞描述】
2020312日微软正式发布CVE-2020-0796高危漏洞补丁。
SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。
攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。
该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。
除了直接攻击SMB服务端造成RCE外,该漏洞得亮点在于对SMB客户端的攻击,攻击者可以构造特定的网页,压缩包,共享目录,OFFICE文档等多种方式触发漏洞进行攻击
【漏洞版本】
漏洞影响Windows 10 1903之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。Windows 7不受影响。
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)
【漏洞等级】高危
【漏洞影响】
对于政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点,均为潜在攻击目标。黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于永恒之蓝,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。
从漏洞公开至今近3个月,仍有近三分之一存在漏洞的系统未对该高危漏洞进行修补。
【解决方案】
企业用户:
1. 腾讯T-Sec云防火墙拦截黑客利用CVE-2020-0796漏洞对云主机的网络攻击。
2. 腾讯T-Sec主机安全系统(云镜)支持检测云主机是否受SMBGhost漏洞的影响。
3. 腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受该漏洞影响。

腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。
企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(yuzhi.qq.com)。
4. 企业用户可使用腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。
腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta
5. 企业终端可采用腾讯T-Sec终端安全管理系统(御点)拦截利用该漏洞的攻击:

企业网管还可采用腾讯T-Sec终端安全管理系统(御点)的全网漏洞扫描修复功能,全网统一扫描、安装KB4551762补丁。
部署腾讯T-Sec终端安全管理系统(御点)拦截病毒木马入侵,更多信息可参考链接:https://s.tencent.com/product/yd/index.html
6. 也可使用Windows 更新安装补丁,操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。
个人用户
1. 推荐个人用户采用腾讯电脑管家的漏洞扫描修复功能安装补丁,腾讯电脑管家同时为未安装管家的用户单独提供了SMB远程代码漏洞修复工具

2. 个人用户也可直接运行Windows 更新,完成补丁的安装。操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。

【时间线】
1. 2020年3月11日,国外某厂家发布规则更新,披露疑似SMB严重漏洞;
2. 2020年3月11日,微软发布临时缓解方案:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
3. 2020年3月11日,腾讯电脑管家官微发布“CVE-2020-0796:疑似微软SMB协议‘蠕虫级’漏洞初步通告”;
4. 2020年3月12日晚,微软官方发布CVE-2020-0796安全公告;
5. 2020年3月12日晚,腾讯安全发布远程无损检测工具;
6. 2020年4月14日,国外研究者发布疑似漏洞利用EXP演示视频,并声称继续公布细节,腾讯安全团队随后发布SMB v3远程代码执行漏洞CVE-2020-0796安全通告更新;
7. 20206月2日,国外安全研究人员发布SMBGhost漏洞利用源代码,使漏洞利用风险骤然升级。



【参考链接】
CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability
史诗级漏洞!SMBv3远程代码执行漏洞CVE-2020-0796安全通告
CVE-2020-0796漏洞技术分析
SMBv3远程代码执行漏洞CVE-2020-0796安全通告更新

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:20 , Processed in 0.134023 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表