微软发布了 KB4551762 安全更新,修复了在微软服务器消息块 3.1.1(SMBv3)中发现的预授权 RCE Windows 10 漏洞。在 2020 年 3 月补丁星期二活动日披露了关于该漏洞的细节,两天后公布安全更新。
根据微软的说法,KB4551762 安全更新(CVE-2020-0796)解决的是“网络通信协议的问题,它提供共享访问文件、打印机和串行端口”。可以通过 Windows Update 检查更新或通过从 Microsoft Update 目录手动下载 Windows 版本来安装 KB4551762 安全更新 。
手动下载地址:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
微软表示:“虽然我们没有发现利用此漏洞的攻击,但我们建议用户尽快在受影响设备安装此更新。”该漏洞被称为 SMBGhost 或 EternalDarkness,仅影响运行 Windows 10 版本 1903 和 1909 以及 Windows Server Core 安装版本 1903 和 1909 的设备。
微软解释,此漏洞仅存在于 Windows 10 版本 1903 中添加的一项新功能中,而旧版本的 Windows 不提供对 SMBv3.1.1 压缩的支持,因此这个漏洞不影响旧版本。
SMBv3 RCE 漏洞
在 2020 年 3 月的补丁程序星期二披露漏洞消息之后,Microsoft Active Protections 计划的部分安全供应商获取漏洞细节时,微软才披露 CVE-2020-0796 的详细信息。
当时,微软发布了一份公告,其中包含有关漏洞细节和缓解措施的详情。在 SMBv3 中存在蠕虫级的预授权 RCE 漏洞的消息传开后,希望这份公告可以帮助用户防范潜在攻击。
在微软 Server Message Block 3.1.1(SMBv3)协议处理某些请求时,他们意识到了远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在 SMB 服务器或 SMB 客户端上执行代码的能力。未经身份验证的攻击者要利用此漏洞攻击 SMB 服务器,可以向 SMBv3 目标服务器发送特制数据包。而利用此漏洞攻击 SMB 客户端的,需要配置恶意的 SMBv3 服务器,并诱使用户进行连接。
研究人员演示 DoS 和 LPE 概念验证
网络安全公司 Kryptos Logic 的研究人员发现了 48000 台 Windows 10 主机容易受到 CVE-2020-0796 漏洞利用攻击,并分享了由安全研究员 Marcus Hutchins 创建的拒绝服务概念验证漏洞的演示视频。
SophosLabs 的 Offensive Research 团队还开发并共享了一个本地特权升级概念验证的漏洞利用演示视频,该漏洞使具有低级特权的攻击者可以获得系统级特权。
视频地址:https://v.qq.com/x/page/l0933zw7k5v.html
Kryptos Logic 表示:“即使不存在要分析的补丁程序,也很难发现 SMB 漏洞。”恶意攻击者几乎可以自己对 CVE-2020-0796 进行利用。
对于暂时无法应用此安全更新的管理员,微软提供了针对 SMB 服务器的缓解措施,并建议使用此 PowerShell 命令禁用 SMBv3 压缩(无需重新启动,不会阻止 SMB 客户端的利用):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 -Force
此外,还建议企业客户在企业外围防火墙处阻止 TCP 端口 445,防止试图利用此漏洞对 SMB 服务器进行攻击。
尽管到目前为止尚未检测到针对 Windows 10 系统的恶意扫描,但仍要密切关注针对未打补丁设备的攻击,因为已经开发出 PoC 漏洞利用并且漏洞分析较为简单。
*参考来源:Bleepingcomputer,Sandra1432 编译,转载请注明来自 FreeBuf.COM