0x01 簡介#
SMB(全稱是 Server Message Block) 是一個協議名,它能被用於 Web 連接和客戶端與伺服器之間的資訊溝通。
0x02 漏洞概述#
漏洞名稱:微軟 SMBv3 Client/Server 遠程代碼執行漏洞 CVE-2020-0796
威脅等級:高危
漏洞類型:遠程代碼執行
該漏洞是由於 SMBv3 協議在處理惡意的壓縮數據包時出錯所造成的,它可讓遠程且未經身份驗證的攻擊者在目標系統上執行任意代碼。該漏洞類似於永恆之藍,存在被蠕蟲化利用的可能。
0x03 影響版本#
- 適用於 32 位系統的 Windows 10 版本 1903
- Windows 10 1903 版(用於基於 x64 的系統)
- Windows 10 1903 版(用於基於 ARM64 的系統)
- Windows Server 1903 版(伺服器核心安裝)
- 適用於 32 位系統的 Windows 10 版本 1909
- Windows 10 版本 1909(用於基於 x64 的系統)
- Windows 10 1909 版(用於基於 ARM64 的系統)
- Windows Server 版本 1909(伺服器核心安裝)
個人使用者可用win+r輸入winver查看自己當前windows版本:
0x04 漏洞檢測#
使用方法:
python scanner.py <IP>
Nmap檢測腳本 (nse 腳本)
nmap --script=CVE-2020-0796 <IP>
Powershell檢測腳本
windows預設執行不受信任的ps腳本,因此需要設定set-executionpolicy remotesigned選擇Y即可
0x05 漏洞利用#
提權的github
0x06 漏洞修復#
1. 騰訊電腦管家SMB漏洞修復工具
2. 安天SMBv3的RCE漏洞強化工具
3.微軟官方補丁
4. 禁用 SMBv3 壓縮
如無法立即安裝補丁,建議禁用 SMBv3 壓縮
無需重啟,可以防止遠程命令執行,但無法防止針對 SMB 客戶端的攻擊
powershell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
參考文章:
- 微軟 SMBv3 Client/Server 遠程代碼執行漏洞安全風險通告(CVE-2020-0796)
- CVE-2020-0796,又是一場補丁攻堅戰
- CVE-2020-0796:微軟 SMBv3 協議 RCE 檢測
- Win-SMBGhost-RCE 漏洞檢測防禦
- CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)
- 更新:遠程無損掃描工具公開發布 | 微軟 Windows SMBv3 服務遠程代碼執行漏洞(CVE-2020-0796)通告
- CVE-2020-0796 本地提權複現
- 【更新】微軟 SMBv3 Client/Server 遠程代碼執行漏洞深入分析(CVE-2020-0796)