CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本

administrator

发表文章数:115

热门标签

, , ,
首页 » Web安全 » CVE漏洞利用库 » CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本

才CVE-2020-0796是SMBv3中的一个远程执行代码漏洞。攻击者可以通过将特制软件包发送到受害者需要连接到的目标SMBv3服务器来利用此错误。鼓励用户进行SMBv3压缩,并阻止防火墙和客户端计算机上的TCP端口445。利用此漏洞使系统容易受到“可蠕虫”攻击,这意味着从受害者到受害者的转移变得容易。
CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本
此消息公布后,微软已经发布了一个安全顾问对已在SMBv3(SMBv3.1.1)协议中发现一个远程执行代码漏洞。通过将特制的程序包发送到目标SMBv3服务器,攻击者可以利用应用程序的上下文利用此缓冲区溢出漏洞在服务器上执行随机代码。披露了更多的技术细节,我们只有安全公司的Cisco和Fortinet共享的一些信息。看来此漏洞是意外泄漏的。

根据一些报道,这是一个“蠕虫”,很容易在受害者之间转移,就像我们之前在WannaCry和NotPetya中所看到的那样。与WannaCry和NotPetya不同,CVE-2020-0796仅限于SMBv3,对Windows Server 2008 R2和Windows 7系统没有影响。

受影响的产品
根据Microsoft的说法,此漏洞存在于Windows 10版本1903的新增功能中。旧版本的Windows不支持SMBv3.1.1压缩。
CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本
解决方法
Microsoft已发布CVE-2020-0796的解决方法。解决方法是禁用SMBv3压缩,以阻止未经身份验证的攻击者利用针对SMBv3服务器的漏洞。我已经编写了可用于此替代方法的Powershell脚本。我已经在Github上发布了该脚本:https://github.com/T13nn3s/CVE-2020-0976 。运行此脚本后,无需重新启动,此更改立即生效。
检测
在windows 10 测试
CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本
在windows2008测试
CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本

检测脚本

免责声明:本站所提供工具、技术文章,仅供技术学习交流、请勿用于非法行为,请遵守相关法律规定,否则后果自负。作者:administrator, 转载或复制请以 超链接形式 并注明出处 大老李的Blog|渗透测试论坛|红蓝对抗|大型Web安全问答社区
原文地址:《CVE-2020-0796: SMBv3 RCE vulnerability in SMBv3 (GhostSMB)附检测脚本》 发布于2020-03-13

分享到:
赞(0) 打赏 生成海报

评论 34

评论前必须登录!

  注册

  1. #31

    6666

    fuj3个月前 (07-14)
  2. #32

    楼主牛逼

    a6464650713个月前 (07-17)

长按图片转发给朋友

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

关于渗透测试入门到进阶教学
后期的系列课程、问答以及工具、思路分享将会在星球发布
切换注册

登录

忘记密码 ?

切换登录

注册