CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本

作者 : laolisafe 本文共756个字,预计阅读时间需要2分钟 发布时间: 2020-03-13 共7.4K人阅读

才CVE-2020-0796是SMBv3中的一个远程执行代码漏洞。攻击者可以通过将特制软件包发送到受害者需要连接到的目标SMBv3服务器来利用此错误。鼓励用户进行SMBv3压缩,并阻止防火墙和客户端计算机上的TCP端口445。利用此漏洞使系统容易受到“可蠕虫”攻击,这意味着从受害者到受害者的转移变得容易。

此消息公布后,微软已经发布了一个安全顾问对已在SMBv3(SMBv3.1.1)协议中发现一个远程执行代码漏洞。通过将特制的程序包发送到目标SMBv3服务器,攻击者可以利用应用程序的上下文利用此缓冲区溢出漏洞在服务器上执行随机代码。披露了更多的技术细节,我们只有安全公司的Cisco和Fortinet共享的一些信息。看来此漏洞是意外泄漏的。

根据一些报道,这是一个“蠕虫”,很容易在受害者之间转移,就像我们之前在WannaCry和NotPetya中所看到的那样。与WannaCry和NotPetya不同,CVE-2020-0796仅限于SMBv3,对Windows Server 2008 R2和Windows 7系统没有影响。

受影响的产品
根据Microsoft的说法,此漏洞存在于Windows 10版本1903的新增功能中。旧版本的Windows不支持SMBv3.1.1压缩。

解决方法
Microsoft已发布CVE-2020-0796的解决方法。解决方法是禁用SMBv3压缩,以阻止未经身份验证的攻击者利用针对SMBv3服务器的漏洞。我已经编写了可用于此替代方法的Powershell脚本。我已经在Github上发布了该脚本:https://github.com/T13nn3s/CVE-2020-0976 。运行此脚本后,无需重新启动,此更改立即生效。
检测
在windows 10 测试

在windows2008测试

检测脚本

转载声明:本站文章若无特别说明,皆为原创,转载请注明来源:大老李的Blog,谢谢!^^
大老李的Blog|渗透测试论坛|红蓝对抗|大型Web安全问答社区 » CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本

常见问题FAQ

下载须知:
所有工具以及资源来自网络收集,所有下载,仅供学习交流。禁止利用从本站点下载的工具进行非法活动,从事危害国家网络安全等行为,请遵守相关法律规定,如有违反与本站无关。
会员的作用是什么?
本站会上线exp漏洞库与最新0day供会员下载

34 评论

  1. 楼主牛逼

发表评论

提供最优质的资源集合

立即查看 了解详情