更新 | 远程命令执行POC被公开发布:微软SMBv3服务远程代码执行漏洞(CVE--0796)通告
原创 红雨滴团队 [奇安信威胁情报中心](javascript:void(0)😉昨天
文档信息
通告概述
3月11日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞(CVE--0796),攻击者可能利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。
目前奇安信息威胁情报中心红雨滴团队已经确认漏洞的存在,利用此漏洞可以稳定地导致系统崩溃,不排除执行任意代码的可能性,由于漏洞无需用户验证的特性,可能导致类似WannaCry攻击那样蠕虫式的传播。
3月12日微软发布了相应的安全补丁,强烈建议用户立即安装补丁以免受此漏洞导致的风险。3月14日,已有可导致受影响系统蓝屏崩溃的漏洞利用POC在公开渠道发布,可以稳定地导致系统远程拒绝服务。
3月22日奇安信代码安全团队发布了针对此漏洞的远程无损扫描器,可以帮助网络管理员快速地识别存在此漏洞的系统,欢迎使用。
3月30日公开渠道出现利用此漏洞的本地提权利用代码,奇安信验证可用,本地攻击者可以利用漏洞从普通用户权限提升到系统权限。
4月14日国外有安全厂商称已经实现此漏洞的远程无需用户验证的命令执行并发布了录像演示,后续可能会有相应的技术细节发布。如果此POC属实,则至少证明漏洞的远程命令执行在技术上是可行的,漏洞的现实威胁进一步得到确认,一旦相关技术扩散蠕虫式的攻击传播可能性加大。
厂商的演示链接:
/RicercaSec/status/1249904222490918917
6月2日国外有安全人员发布了一个可以导致利用此漏洞进行远程代码执行的POC,从技术层面上确认了利用漏洞无需用户验证远程控制用户系统的可能性,攻击者可能基于此POC构造可能导致蠕虫式传播远程攻击恶意代码,已经构成非常现实的威胁。
漏洞****概要
漏洞描述
漏洞存在于Windows的SMBv3.0(文件共享与打印服务)中,目前技术细节暂不公布,对于漏洞的利用无需用户验证,通过构造恶意请求即可触发导致任意代码执行,系统受到非授权控制。
影响面评估
此漏洞主要影响SMBv3.0协议,目前支持该协议的设备包括Windows 8、Windows 8.1、Windows 10、Windows Server 和 Windows Server ,但是从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级,威胁非常大。
处置建议
修复方法
微软已经发布了此漏洞的安全补丁,访问如下链接: https://portal./en-US/security-guidance/advisory/CVE--0796
\2. 如果暂时无法安装补丁,微软当前建议按如下临时解决方案处理:
执行以下命令
Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force 禁用SMB 3.0的压缩功能,是否使用需要结合自己业务进行判断。
扫描工具
奇安信CVE--0796漏洞远程无损扫描工具下载:
/skylar6/CVE--0796-Scanner.zip
参考资料
https://portal./en-US/security-guidance/advisory/ADV200005
/cache.aspx?q=https%3a%2f%%2f%2f03%2fmicrosoft-patch-tuesday-march-.html&w=NrvF66m3pULMCOMEBw-cKyRUwi9s1qXv&d=928684983196
https://portal./en-US/security-guidance/advisory/CVE--0796
时间线
转载自https://mp./s/7ZMx7wsTzFZ2CKswIzitow
如果觉得《更新 | 远程命令执行POC被公开发布:微软SMBv3服务远程代码执行漏洞(CVE--0796)通告》对你有帮助,请点赞、收藏,并留下你的观点哦!
