微软发布CVE-2020-0796补丁

iso60001  1714天前

22.jpg

在可能造成巨大威胁的SMB漏洞公布几天后,微软终于发布了一个紧急软件更新来修补最近SMBv3协议中的缺陷。该漏洞可以让攻击者传播蠕虫型的恶意软件,自动在内网内大规模感染存在漏洞的机器。

该漏洞被标记为CVE-2020-0796,是一个远程代码执行漏洞,影响到Windows 10的1903和1909版本,以及Windows Server的1903和1909版本。

SMB运行在TCP端口445上,它是一种被广泛利用的网络协议,支持文件共享、网络浏览、打印服务和网络进程间的通信。

这个漏洞对应的补丁为KB4551762,可以在微软官网网站上找到。它和SMBv3协议处理带有压缩头的请求的方式有关,可导致未经身份验证的远程攻击者以SYSTEM权限在目标服务器上执行恶意代码。

图片.png

压缩头(Compression headers)是在2019年5月添加到Windows 10和Windows Server操作系统中协议的一项功能,旨在压缩服务器和连接到服务器的客户端之间交换消息的大小。

bb.png

蓝屏演示:https://vimeo.com/397149983

微软在通告中表示:“为了利用该漏洞,未经身份验证的攻击者需向目标服务器中的SMBv3协议发送一个经过特殊处理的数据包。而为了利用针对客户端的漏洞,攻击者需要配置一个恶意的SMBv3服务器,并诱骗受害者连接到它。”

在撰写本文时,已出现一个相关PoC演示,可导致目标机器蓝屏。不过微软既然已经放出了补丁,黑客也可通过逆向掌握漏洞细节,开发出会自动传播的恶意软件。

另一组研究人员也发表了一份详细的漏洞分析报告,结论是内核池溢出是漏洞的根本原因所在。

cc.png

研究人员还表示,经过测试目前公网有近48000个Windows系统易受到最新的SMB漏洞的攻击。

aa.png

由于该漏洞强大的危害性,强烈建议家庭和企业用户尽快安装更新,而不仅仅只是设置一些防御手段。

如果不能立即更新补丁,建议至少阻止外界对SMB端口的访问,以防止被远程利用。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2020/03/patch-wormable-smb-vulnerability.html

最新评论

昵称
邮箱
提交评论