【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告
前言
微软在正式发布漏洞之前会给其重要合作伙伴一个预先的警告, Fortinet作为微软重要的合作伙伴,于3月10日发布了FortiGuard安全特征,并已经更新IPS特征库,保护Fortinet客户免于攻击威胁。
SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。
该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。除了直接攻击SMB服务端造成RCE外,该漏洞得亮点在于对SMB客户端的攻击,攻击者可以构造特定的网页,压缩包,共享目录,OFFICE文档等多种方式触发漏洞进行攻击。
漏洞影响
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows Server, version 1909 (Server Core installation)
漏洞复现过程
部署环境:
- Windows 10 Version 1909 for x64-based Systems VM
- Kali 4 VM 下载exp脚本(这里主要目的是演示攻击和防御方法,故不提供攻击脚本)
(一)Windows10配置:
需要打开Windows 10的 SMB服务(TCP port 445):Windows 安全中心—》网络和安全保护—》允许应用通过防火墙
(二)Kali配置:
(三)Kali上执行攻击操作(同时观察Windows 10的虚拟机情况):
其中10.0.0.2是受攻击的Windows 10主机的ip地址
被攻击后Windows 10出现重启现象,截图如下:
漏洞修复方法
方法一
Windows 10用户需要紧急升级到微软为CVE-2020-0796更新的最新的补丁。
方法二
FortiGate用户更新IPS特征库
特征名称:MS.SMB.Server.Compression.Transform.Header.Memory.Corruption,主要步骤如下:
(一)在FortiGate上添加IPS防御规则:
(二)在策略中启用IPS防护策略
(三)登陆Kali重新攻击windows 10受害主机不成功
(四)观察FortiGate IPS日志:
其他参考链接
Fortinet安全预警分析报告链接:
FortiGuard全球安全实验室:
https://fortiguard.com/encyclopedia/ips/48773
【SMB CVE-2020-0796 内存损坏漏洞-攻防演示】