【安全通报】SMB v1远程代码执行漏洞 (CVE-2020-1301)

xiannv  260天前

概况

近日,微软发布补丁修复了一个标注为远程代码执行的SMB v1漏洞:CVE-2020-1301,漏洞影响Win7-Win10的所有版本。经分析,该漏洞发生在srv驱动模块解析SMB相关协议MS-FSCC中的FSCTL_SIS_COPYFILE请求时,没有完全验证请求中的SI_COPYFILE结构,后续引用造成了整形溢出。与之前的SMBGhost(SMBv3漏洞)相比,该漏洞出现在老版本的SMB v1中,触发需要先通过身份认证,危害等级低于CVE-2020-0796。同时建议关闭SMB v1,由于SMB v1存在很多安全问题,如之前的永恒之蓝就是利用SMB v1漏洞。从2007年开始,SMB v2 和更高版本的协议取代了SMB v1。Microsoft 在2014年公开弃用了 SMB v1 协议。Windows 10已默认关闭SMB v1,禁用SMB v1不会对系统造成影响。

Image

建议受影响的系统关闭SMB v1,由于SMB v1存在很多安全问题,如之前的永恒之蓝就是利用SMB v1漏洞。从2007年开始,SMB v2 和更高版本的协议取代了SMB v1。Microsoft 在2014年公开弃用了 SMB v1 协议。Windows 10已默认关闭SMB v1,禁用SMB v1不会对系统造成影响。

CVE编号

CVE-2020-1301

危害等级

高危

FOFA指纹

protocol=="smb"

漏洞影响范围

根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有 294494 个SMB服务对外开放。中国大陆使用数量最多,共有 252729 个,日本第二,共有 11280 个,中国台湾第三,共有 8116 个,印度第四,共有 4487 个,中国香港第五,共有 3003 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

Snipaste_2020-06-10_12-38-46.png

中国大陆地区北京市使用数量最多,共有 171347 个,浙江省第二,共有 37448 个,广东省第三,共有 8225 个,江苏省第四,共有 6908 个,上海市第五,共有 3097 个。

Snipaste_2020-06-10_12-39-05.png

影响版本

Win7 -- Win10

修复建议

强烈建议进行补丁安装安全升级。受影响用户可到官网下载补丁:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1301
可参照对应补丁列表进行下载安装。

临时修复建议

该漏洞触发需要先建立SMB会话,即通过身份验证,为避免受到漏洞影响,设置密码时使用强密码。目前官方已发布补丁修复了该漏洞,对于暂时无法安装补丁的用户,可采取禁用 SMBv1的措施减小风险。

对于运行 Windows Vista 及更高版本的客户,可参照官方指导进行禁用smb:https://docs.microsoft.com/zh-cn/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3

对于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法对于客户端操作系统:

  1. 打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
  2. 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
  3. 重启系统。

对于服务器操作系统:

  1. 打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
  2. 在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
  3. 重启系统。

参考

[1] https://weixin.shuziguanxing.com/selectDetailsTempateId/475

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论