静素 静素
  • 注册
  • 登录
  • 首页
  • 动态广场
  • 专题
  • 友链
  • 关于
    • 留言
    • 隐私政策
首页 › 技术笔记 › 【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告

【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告

Lewis
2年前技术笔记
415 0 2

前言

微软在正式发布漏洞之前会给其重要合作伙伴一个预先的警告, Fortinet作为微软重要的合作伙伴,于3月10日发布了FortiGuard安全特征,并已经更新IPS特征库,保护Fortinet客户免于攻击威胁。

SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。

该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。除了直接攻击SMB服务端造成RCE外,该漏洞得亮点在于对SMB客户端的攻击,攻击者可以构造特定的网页,压缩包,共享目录,OFFICE文档等多种方式触发漏洞进行攻击。

漏洞影响

  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)

漏洞复现过程

部署环境:

  • Windows 10 Version 1909 for x64-based Systems VM
  • Kali 4 VM 下载exp脚本(这里主要目的是演示攻击和防御方法,故不提供攻击脚本)
【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告-静素
漏洞复现图

(一)Windows10配置:

需要打开Windows 10的 SMB服务(TCP port 445):Windows 安全中心—》网络和安全保护—》允许应用通过防火墙

【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告-静素
win10配置

(二)Kali配置:

(三)Kali上执行攻击操作(同时观察Windows 10的虚拟机情况):

其中10.0.0.2是受攻击的Windows 10主机的ip地址

被攻击后Windows 10出现重启现象,截图如下:

【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告-静素

漏洞修复方法

方法一

Windows 10用户需要紧急升级到微软为CVE-2020-0796更新的最新的补丁。

方法二

FortiGate用户更新IPS特征库

特征名称:MS.SMB.Server.Compression.Transform.Header.Memory.Corruption,主要步骤如下:

(一)在FortiGate上添加IPS防御规则:

【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告-静素
IPS防御规则

(二)在策略中启用IPS防护策略

【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告-静素
启用IPS防护策略

(三)登陆Kali重新攻击windows 10受害主机不成功

【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告-静素
攻击失败

(四)观察FortiGate IPS日志:

【重大漏洞通告】堪比永恒之蓝,Windows SMB内存损坏漏洞 CVE-2020-0796复现及分析报告-静素

其他参考链接

Fortinet安全预警分析报告链接:

https://www.fortinet.com/blog/threat-research/cve-2020-0796-memory-corruption-vulnerability-in-windows-10-smb-server.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+fortinet%2Fblogs+%28Fortinet+All+Blogs%29

FortiGuard全球安全实验室:

https://fortiguard.com/encyclopedia/ips/48773

【SMB CVE-2020-0796 内存损坏漏洞-攻防演示】

SMB
2
本文系作者 @飞塔安全 授权发布在 静素。未经许可,禁止转载。
YY投资Shopline,试水跨境电商
上一篇
HTML + CSS 实现一个酷炫的夜间模式切换动画
下一篇
评论 (0)
再想想
聚合文章
2021年3月勒索病毒流行态势分析
2年前
Win10升级将附带新的显示与相机设置
2年前
药神的处方药
2年前
微软为Win10 1909推送更新,修复资源管理器搜索等问题
2年前
2
相关文章
2021年3月勒索病毒流行态势分析
Win10升级将附带新的显示与相机设置
微软为Win10 1909推送更新,修复资源管理器搜索等问题
HTML + CSS 实现一个酷炫的夜间模式切换动画
关于

在时光无涯的荒野里,人生,不过一抹短浅印迹,踏过四季,即香消玉殒,英雄末路,一辈子的痴缠呓语,更待何人说。

友链
壁纸 私人影院 音乐
导航
首页 动态广场 专题 留言 友链 隐私政策
Copyright © 2021-2023 静素. Designed by nicetheme. 浙icp备16001001
  • 首页
  • 动态广场
  • 投稿
  • 专题
  • 留言
  • 隐私政策
热门搜索
  • 文章
  • yy
  • SMB
  • css
  • 昼夜动画
  • Html
  • 微软
  • 我不是药神
  • 影评
  • win10
  • 系统
  • 勒索病毒
Lewis
7 文章
0 评论
4 喜欢
  • 2
  • 0
  • Top