CVE-2020-0796-Win-SMBGhost-RCE脆弱性

0x01 紹介#

SMB(Server Message Block) は、Web 接続やクライアントとサーバー間の情報通信に使用されるプロトコルです。

脆弱性名：Microsoft SMBv3 Client/Server Remote Code Execution Vulnerability CVE-2020-0796

脅威レベル：高

脆弱性の種類：リモートコード実行

この脆弱性は、SMBv3 プロトコルが悪意のある圧縮データパケットの処理中にエラーが発生するため、リモートで認証されていない攻撃者がターゲットシステムで任意のコードを実行できるものです。この脆弱性は、エターナルブルーに似ており、ワーム化攻撃の可能性があります。

個人ユーザーは、win+rを入力して現在の Windows バージョンを確認できます：

使用方法：

python scanner.py <IP>

nmap --script=CVE-2020-0796 <IP>

Windowsでは、信頼されていないpsスクリプトはデフォルトで実行されないため、set-executionpolicy remotesignedを設定し、Yを選択する必要があります。

特権昇格github

パッチをすぐにインストールできない場合は、SMBv3 の圧縮を無効にすることをお勧めします。

再起動は不要で、リモートコマンドの実行を防止できますが、SMB クライアントへの攻撃は防げません。

powershell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

参考記事：