CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本

发布于 20 天前  1123 次阅读


才CVE-2020-0796是SMBv3中的一个远程执行代码漏洞。攻击者可以通过将特制软件包发送到受害者需要连接到的目标SMBv3服务器来利用此错误。鼓励用户进行SMBv3压缩,并阻止防火墙和客户端计算机上的TCP端口445。利用此漏洞使系统容易受到“可蠕虫”攻击,这意味着从受害者到受害者的转移变得容易。

此消息公布后,微软已经发布了一个安全顾问对已在SMBv3(SMBv3.1.1)协议中发现一个远程执行代码漏洞。通过将特制的程序包发送到目标SMBv3服务器,攻击者可以利用应用程序的上下文利用此缓冲区溢出漏洞在服务器上执行随机代码。披露了更多的技术细节,我们只有安全公司的Cisco和Fortinet共享的一些信息。看来此漏洞是意外泄漏的。

根据一些报道,这是一个“蠕虫”,很容易在受害者之间转移,就像我们之前在WannaCry和NotPetya中所看到的那样。与WannaCry和NotPetya不同,CVE-2020-0796仅限于SMBv3,对Windows Server 2008 R2和Windows 7系统没有影响。

受影响的产品
根据Microsoft的说法,此漏洞存在于Windows 10版本1903的新增功能中。旧版本的Windows不支持SMBv3.1.1压缩。

解决方法
Microsoft已发布CVE-2020-0796的解决方法。解决方法是禁用SMBv3压缩,以阻止未经身份验证的攻击者利用针对SMBv3服务器的漏洞。我已经编写了可用于此替代方法的Powershell脚本。我已经在Github上发布了该脚本:https://github.com/T13nn3s/CVE-2020-0976 。运行此脚本后,无需重新启动,此更改立即生效。
检测
在windows 10 测试

在windows2008测试

检测脚本

相关文件下载地址
该资源需登录后下载,去登录?
免责声明:本站所提供工具、技术文章,仅供技术学习交流、请勿用于非法行为,请遵守相关法律规定,否则后果自负。

网络安全研究员、渗透测试攻城狮
文能社会工程学,武能过狗拿shell
日的了站,做的了饭。
人生格言:即使是咸鱼,也一定是最咸的那条