2021-05-31 10:16发布
一、SMBv3远程代码执行漏洞是什么?
北京时间3月11日,微软发布了3月安全补丁更新,其中包含一条安全通告称其已经了解到在Microsoft Server Message Block 3.1.1(SMBv3)中存在一个远程代码执行漏洞,成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。该漏洞源于SMBv3协议对于特定请求的处理方式存在错误,攻击者可以在未经身份验证的情况下利用该漏洞。
若要针对SMBv3服务器,攻击者可以将特制的数据包发送到SMB服务器来触发。若要针对SMBv3客户端,攻击者需要配置好一个恶意的SMB服务器,并诱使用户连接该服务器。
绿盟科技已在第一时间复现了利用该漏洞的过程,效果如下所示:
目前微软已经发布补丁进行了修复。
鉴于该漏洞潜在威胁大,强烈建议用户尽快采取相关防护措施进行防护。
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
3.1.1 安全补丁
微软官方已针对受影响产品发布了安全补丁KB4551762,强烈建议受影响用户开启系统自动更新安装补丁进行防护。
如需单独安装,官方提供的补丁下载地址如下。
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
3.1.2 临时防护
无法安装更新的用户可通过以下Powershell命令来禁用SMBv3中的压缩功能,对SMBv3 Server进行临时防护:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force
注意:
1. 以上命令不需要重启即可生效。
2. 以上命令仅可以用来临时防护针对SMB服务器(SMB SERVER)的攻击,攻击者还是可以利用该漏洞来攻击SMB客户端(SMB Client)。
3. 请参阅并遵循微软的指导来保护SMB client。
https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections
4. 禁用SMB压缩不会对性能造成负面影响。
更多详情请参考微软官方通告:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
3.2.1 绿盟科技检测类产品与服务
内网资产可以使用绿盟科技的远程安全评估系统(RSAS V6)、入侵检测系统(IDS)、统一威胁探针(UTS)进行检测。
远程安全评估系统(RSAS V6)
http://update.nsfocus.com/update/listRsas
入侵检测系统(IDS)
http://update.nsfocus.com/update/listIds
统一威胁探针(UTS)
http://update.nsfocus.com/update/bsaUtsIndex
3.2.1.1 检测产品升级包/规则版本号
RSAS V6升级包下载链接:
http://update.nsfocus.com/update/downloads/id/103169
注:“Microsoft SMBv3远程代码执行漏洞(CVE-2020-0796)【原理扫描】” 此插件为危险插件,可能造成受此漏洞影响的主机蓝屏、重启、关闭等异常。默认不开启,如需要,请开启危险插件后进行扫描 。
IDS 升级包下载链接:
5.6.10.22154
http://update.nsfocus.com/update/downloads/id/103168
5.6.9.22154
http://update.nsfocus.com/update/downloads/id/103167
UTS 升级包下载链接:
http://update.nsfocus.com/update/downloads/id/103172
3.2.2 绿盟科技防护类产品
使用绿盟科技防护类产品,入侵防护系统(IPS)来进行防护。
入侵防护系统(IPS)
http://update.nsfocus.com/update/listIps
3.2.2.1 防护产品升级包/规则版本号
IPS 规则升级包下载链接:
3.2.3 安全平台
漏洞原理
该漏洞CVE-2020-0796(又名SMBGhost)源于SMB v3的数据压缩功能。在SMB v3中微软引入了数据压缩的功能,通过与服务器的前期交互,可以设定传输经过压缩的数据,从而增加效率。然而在包含压缩数据的SMB包中,攻击者可以通过控制相关字段,使得程序在申请存储数据的缓冲区时发生溢出,从而使得目标系统蓝屏拒绝服务。
在系统升级中,点击下图红框位置选择文件。
选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此漏洞进行扫描。
在系统升级中点击离线升级,选择规则升级文件,选择对应的升级包文件,点击上传,并等待升级成功即可。
5.3.1 在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。
5.3.2 更新成功后,在系统默认规则库中查找规则编号,即可查询到对应的规则详情。
注意事项:该升级包升级后引擎自动重启生效,不会造成会话中断,但ping包会丢3~5个,请选择合适的时间升级。
第一步:登录ISOP平台,点击系统升级,如下图所示:
第二步:在“统一规则库升级”中选择“攻击识别规则包”,将下载的最新版本规则包导入上传,并点击升级即可。
搜下一跳,暴露在互联网上相关的可疑弱点 都是千万级别的。奉劝小伙伴们,千万不要去做一些不可描述的事啊,我们把自己的电脑防御好,别收到攻击就好了哦。
建议防御措施
阻止TCP端口445
win键+R 弹出运行对话框,输入 firewall.cpl命令打开防火墙配置
1.不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染勒索病毒;
2.若无业务必要,暂时关闭445端口;
3.若无业务必要,暂时禁用SMBv3服务的压缩;
4.关注微软补丁更新,及时升级系统。
微软已经公布补丁更新,请各单位、校园网用户在确保安全的前提下,尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
漏洞概述
3月10日,微软发布安全通告称Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞,未经身份验证的攻击者发送精心构造的数据包进行攻击,可在目标SMB服务器上执行任意代码。
绿盟科技监测到有国外厂商针对该漏洞发布了安全防护规则,并确定漏洞编号为CVE-2020-0796,微软官方暂未发布修复补丁,请相关用户关注并采取防护措施。
参考链接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005
https://fortiguard.com/encyclopedia/ips/48773
SEE MORE →
2影响范围
受影响版本
3漏洞防护
3.1 防护建议
目前微软暂未针对该漏洞发布安全补丁,请相关用户持续关注官方动态:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005
受影响用户可通过下列措施进行防护:
方法一:禁用SMBv3压缩
使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
用户可通过以下PowerShell命令撤销禁用压缩功能
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force
注:利用以上命令进行更改后,无需重启即可生效;该方法仅可用来防护针对SMB服务器(SMB SERVER)的攻击,无法对SMB客户端(SMB Client)进行防护。
方法二:设置防火墙策略
在边界防火墙做好安全策略阻止SMB通信流出企业内部,详情可参考微软官方的指南:
https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections
这个还是因人而异吧,看你自己对哪方面感兴趣,兴趣是最好的老师,感兴趣了才愿意钻研学习下去,简单说一下这两个学习知识方面的不同吧:软件测试岗位虽然对于从业者的知识基础要求不高,但是软件测试岗位所涉及到的知识面还是比较广的,所以软件测试人员也需...
SQL注入漏洞的危害:1、数据库中存储的用户隐私信息泄漏;2、通过操作数据库对某些网页进行篡改;3、修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;4、数据库服务器被恶意操作,系统管理员帐户被窜改;5、数据库服务器提供的操作系统支持,让黑客得以...
一、CISP(Certified Information Security Professional)证书中文叫注册信息安全专业人员,由中国信息安全产品测评认证中心实施的国家认证。可以说,这是目前国内对于个人来说认可度最高的信息安全人员资质,堪称最权威、最专业、最系统。根据实际岗位的不...
渗透测试(也称为pentest)是测试移动应用程序漏洞的过程。此测试的主要目的是确保外部人员的重要数据.通过模拟黑客的思维和攻击手段,对计算机业务系统的弱点、技术缺陷和漏洞进行探查评估。经过客户授权后,在不影响业务系统正常运行的条件下,渗透人员在黑...
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。主要涉及到的有:1、物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络...
网络安全工程师学习内容: 1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历,三年以上网络安全领域工作经验; 2、精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防...
学历不是问题,技术才是硬道理!只要你的技术过硬的话,你完全可以进国家安全部门去工作的。比如公安局里的网监工作,大都是九零后的电脑方面的精英。未必都是本科生。还有从社会上特招进去的。所以说,现在是拿技术说话,不是靠学历吃饭的时代了。 网...
网络安全的知识是比较简单的,比较好入门,好多知识理论,大家都是可以听懂的,这是完全没有问题的。网络安全最终的则是实战的应用,怎么把这些理论知识运用到事件中,这些才是重中之重。所以在选择培训机构的时候,也需要尽量去找这些实践操作多的培训机构。...
能够胜任的岗位主要有:渗透测试工程师、大数据安全工程师、信息安全工程师、安全测试工程师、安全服务工程师、安全运维工程师、系统安全工程师、服务器安全工程师、云计算安全工程师、网络安全工程师、安全分析师、渗透讲师等; 按照web渗透、内网渗透...
一些典型的网络安全问题,可以来梳理一下:IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(copy报文伪造、篡改)和路由攻击(中间人攻击);2. DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量;3. DoS攻击:单一攻击...
运维一般是设备或者环境的搭建和维护,网络安全可以看做是防火墙
先说说运维工程师和网络工程师的区别。运维工程师是泛指,网络工程师为特指,所以不能这么对比。你应该这么理解,网络工程师是一个人(也可以是理解成一个岗位),而运维则是他的工作内容。从工作内容上来说,运维可细分为桌面运维、网络运维、服务器运维三大...
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','/static/images/logo.png', '推荐 反杀闰土的猹 的问题《SMBv3远程代码执行漏洞是什么,如何避免危害?》','http://www.shouhuola.com/q-36394.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
一、SMBv3远程代码执行漏洞是什么?
北京时间3月11日,微软发布了3月安全补丁更新,其中包含一条安全通告称其已经了解到在Microsoft Server Message Block 3.1.1(SMBv3)中存在一个远程代码执行漏洞,成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。该漏洞源于SMBv3协议对于特定请求的处理方式存在错误,攻击者可以在未经身份验证的情况下利用该漏洞。
若要针对SMBv3服务器,攻击者可以将特制的数据包发送到SMB服务器来触发。若要针对SMBv3客户端,攻击者需要配置好一个恶意的SMB服务器,并诱使用户连接该服务器。
绿盟科技已在第一时间复现了利用该漏洞的过程,效果如下所示:
目前微软已经发布补丁进行了修复。
鉴于该漏洞潜在威胁大,强烈建议用户尽快采取相关防护措施进行防护。
二、漏洞影响范围
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
三、防护方案
3.1 官方修复方案
3.1.1 安全补丁
微软官方已针对受影响产品发布了安全补丁KB4551762,强烈建议受影响用户开启系统自动更新安装补丁进行防护。
如需单独安装,官方提供的补丁下载地址如下。
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
3.1.2 临时防护
无法安装更新的用户可通过以下Powershell命令来禁用SMBv3中的压缩功能,对SMBv3 Server进行临时防护:
注意:
1. 以上命令不需要重启即可生效。
2. 以上命令仅可以用来临时防护针对SMB服务器(SMB SERVER)的攻击,攻击者还是可以利用该漏洞来攻击SMB客户端(SMB Client)。
3. 请参阅并遵循微软的指导来保护SMB client。
https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections
4. 禁用SMB压缩不会对性能造成负面影响。
更多详情请参考微软官方通告:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
3.2 绿盟科技检测防护建议
3.2.1 绿盟科技检测类产品与服务
内网资产可以使用绿盟科技的远程安全评估系统(RSAS V6)、入侵检测系统(IDS)、统一威胁探针(UTS)进行检测。
远程安全评估系统(RSAS V6)
http://update.nsfocus.com/update/listRsas
入侵检测系统(IDS)
http://update.nsfocus.com/update/listIds
统一威胁探针(UTS)
http://update.nsfocus.com/update/bsaUtsIndex
3.2.1.1 检测产品升级包/规则版本号
RSAS V6升级包下载链接:
http://update.nsfocus.com/update/downloads/id/103169
注:“Microsoft SMBv3远程代码执行漏洞(CVE-2020-0796)【原理扫描】” 此插件为危险插件,可能造成受此漏洞影响的主机蓝屏、重启、关闭等异常。默认不开启,如需要,请开启危险插件后进行扫描 。
IDS 升级包下载链接:
5.6.10.22154
http://update.nsfocus.com/update/downloads/id/103168
5.6.9.22154
http://update.nsfocus.com/update/downloads/id/103167
UTS 升级包下载链接:
http://update.nsfocus.com/update/downloads/id/103172
3.2.2 绿盟科技防护类产品
使用绿盟科技防护类产品,入侵防护系统(IPS)来进行防护。
入侵防护系统(IPS)
http://update.nsfocus.com/update/listIps
3.2.2.1 防护产品升级包/规则版本号
IPS 规则升级包下载链接:
5.6.10.22154
http://update.nsfocus.com/update/downloads/id/103168
5.6.9.22154
http://update.nsfocus.com/update/downloads/id/103167
3.2.3 安全平台
四、技术分析
漏洞原理
该漏洞CVE-2020-0796(又名SMBGhost)源于SMB v3的数据压缩功能。在SMB v3中微软引入了数据压缩的功能,通过与服务器的前期交互,可以设定传输经过压缩的数据,从而增加效率。然而在包含压缩数据的SMB包中,攻击者可以通过控制相关字段,使得程序在申请存储数据的缓冲区时发生溢出,从而使得目标系统蓝屏拒绝服务。
五、附录 产品/平台使用指南
5.1 RSAS扫描配置
在系统升级中,点击下图红框位置选择文件。
选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此漏洞进行扫描。
5.2 UTS检测配置
在系统升级中点击离线升级,选择规则升级文件,选择对应的升级包文件,点击上传,并等待升级成功即可。
5.3 IPS防护配置
5.3.1 在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。
5.3.2 更新成功后,在系统默认规则库中查找规则编号,即可查询到对应的规则详情。
注意事项:该升级包升级后引擎自动重启生效,不会造成会话中断,但ping包会丢3~5个,请选择合适的时间升级。
5.4 ISOP 绿盟智能安全运营平台
第一步:登录ISOP平台,点击系统升级,如下图所示:
第二步:在“统一规则库升级”中选择“攻击识别规则包”,将下载的最新版本规则包导入上传,并点击升级即可。
搜下一跳,暴露在互联网上相关的可疑弱点 都是千万级别的。奉劝小伙伴们,千万不要去做一些不可描述的事啊,我们把自己的电脑防御好,别收到攻击就好了哦。
建议防御措施
阻止TCP端口445
win键+R 弹出运行对话框,输入 firewall.cpl命令打开防火墙配置
1.不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染勒索病毒;
2.若无业务必要,暂时关闭445端口;
3.若无业务必要,暂时禁用SMBv3服务的压缩;
4.关注微软补丁更新,及时升级系统。
微软已经公布补丁更新,请各单位、校园网用户在确保安全的前提下,尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
漏洞概述
3月10日,微软发布安全通告称Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞,未经身份验证的攻击者发送精心构造的数据包进行攻击,可在目标SMB服务器上执行任意代码。
绿盟科技监测到有国外厂商针对该漏洞发布了安全防护规则,并确定漏洞编号为CVE-2020-0796,微软官方暂未发布修复补丁,请相关用户关注并采取防护措施。
参考链接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005
https://fortiguard.com/encyclopedia/ips/48773
SEE MORE →
2影响范围
受影响版本
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
3漏洞防护
3.1 防护建议
目前微软暂未针对该漏洞发布安全补丁,请相关用户持续关注官方动态:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005
受影响用户可通过下列措施进行防护:
方法一:禁用SMBv3压缩
使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
用户可通过以下PowerShell命令撤销禁用压缩功能
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force
注:利用以上命令进行更改后,无需重启即可生效;该方法仅可用来防护针对SMB服务器(SMB SERVER)的攻击,无法对SMB客户端(SMB Client)进行防护。
方法二:设置防火墙策略
在边界防火墙做好安全策略阻止SMB通信流出企业内部,详情可参考微软官方的指南:
https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections
相关问题推荐
这个还是因人而异吧,看你自己对哪方面感兴趣,兴趣是最好的老师,感兴趣了才愿意钻研学习下去,简单说一下这两个学习知识方面的不同吧:软件测试岗位虽然对于从业者的知识基础要求不高,但是软件测试岗位所涉及到的知识面还是比较广的,所以软件测试人员也需...
SQL注入漏洞的危害:1、数据库中存储的用户隐私信息泄漏;2、通过操作数据库对某些网页进行篡改;3、修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;4、数据库服务器被恶意操作,系统管理员帐户被窜改;5、数据库服务器提供的操作系统支持,让黑客得以...
一、CISP(Certified Information Security Professional)证书中文叫注册信息安全专业人员,由中国信息安全产品测评认证中心实施的国家认证。可以说,这是目前国内对于个人来说认可度最高的信息安全人员资质,堪称最权威、最专业、最系统。根据实际岗位的不...
渗透测试(也称为pentest)是测试移动应用程序漏洞的过程。此测试的主要目的是确保外部人员的重要数据.通过模拟黑客的思维和攻击手段,对计算机业务系统的弱点、技术缺陷和漏洞进行探查评估。经过客户授权后,在不影响业务系统正常运行的条件下,渗透人员在黑...
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。主要涉及到的有:1、物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络...
网络安全工程师学习内容: 1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历,三年以上网络安全领域工作经验; 2、精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防...
学历不是问题,技术才是硬道理!只要你的技术过硬的话,你完全可以进国家安全部门去工作的。比如公安局里的网监工作,大都是九零后的电脑方面的精英。未必都是本科生。还有从社会上特招进去的。所以说,现在是拿技术说话,不是靠学历吃饭的时代了。 网...
网络安全的知识是比较简单的,比较好入门,好多知识理论,大家都是可以听懂的,这是完全没有问题的。网络安全最终的则是实战的应用,怎么把这些理论知识运用到事件中,这些才是重中之重。所以在选择培训机构的时候,也需要尽量去找这些实践操作多的培训机构。...
能够胜任的岗位主要有:渗透测试工程师、大数据安全工程师、信息安全工程师、安全测试工程师、安全服务工程师、安全运维工程师、系统安全工程师、服务器安全工程师、云计算安全工程师、网络安全工程师、安全分析师、渗透讲师等; 按照web渗透、内网渗透...
一些典型的网络安全问题,可以来梳理一下:IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(copy报文伪造、篡改)和路由攻击(中间人攻击);2. DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量;3. DoS攻击:单一攻击...
运维一般是设备或者环境的搭建和维护,网络安全可以看做是防火墙
先说说运维工程师和网络工程师的区别。运维工程师是泛指,网络工程师为特指,所以不能这么对比。你应该这么理解,网络工程师是一个人(也可以是理解成一个岗位),而运维则是他的工作内容。从工作内容上来说,运维可细分为桌面运维、网络运维、服务器运维三大...