SMBGhost漏洞(CVE-2020-0796)利用源码公开,安全风险骤然升级

2020-06-02 17:47:07
2020年6月2日,有国外安全研究员公开了一份CVE-2020-0796 (别名:SMBGhost)漏洞的RCE代码。经腾讯安全团队分析,漏洞利用思路与先前国外安全团队披露的利用方式类似。由于本次公布的是漏洞利用源代码,使得漏洞利用风险骤然升级,被黑灰产修改即可用于网络攻击。

202062日,有国外安全研究员公开了一份CVE-2020-0796 (别名:SMBGhost)漏洞的RCE代码。经腾讯安全团队分析,漏洞利用思路与先前国外安全团队披露的利用方式类似。由于本次公布的是漏洞利用源代码,使得漏洞利用风险骤然升级,被黑灰产修改即可用于网络攻击。

腾讯安全全系列安全产品已在今年3月份,微软补丁发布后的第二天全面支持对SMBGhost漏洞的检测、拦截。根据我们的研究,漏洞信息披露至今已近3个月,仍有近三分之一的系统未对漏洞做修复,存在严重安全隐患,漏洞可能影响政府机关、企事业单位及个人电脑用户,攻击者利用该漏洞可以制造与WannaCry勒索病毒类似的安全危机。

鉴于漏洞利用的源代码已经公开,腾讯安全团队第三次发布CVE-2020-0796安全通告,强烈建议用户尽快修复漏洞。

腾讯安全全系列产品应对SMB V3远程代码执行漏洞(CVE-2020-0796)的响应清单如下:

应用

场景

安全产品

解决方案

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1)支持拦截黑客利用CVE-2020-0796漏洞对云主机的网络攻击。

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持SMBGhostCVE-2020-0796)漏洞的检测;

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 网络资产风险监测系统

(腾讯御知)

1)腾讯御知已支持监测全网资产是否受SMBGhost漏洞的影响。

关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html

腾讯T-Sec 安全运营中心

已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供SMBGhost漏洞相关的情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)可检测利用SMBGhost漏洞的网络攻击活动

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)可检测、修复终端系统存在的SMBGhost漏洞;

2)可拦截利用SMBGhost漏洞的攻击数据包。


腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

个人用户

腾讯电脑管家

腾讯电脑管家可检测、修复SMBGhost漏洞

个人用户可访问http://guanjia.qq.com下载安装。

 

【漏洞名称】

SMB远程代码执行漏洞(漏洞编号:CVE-2020-0796),别名“SMBGhost”,腾讯安全团队将其命名为“永恒之黑”

 

【漏洞描述】

2020312日微软正式发布CVE-2020-0796高危漏洞补丁。

SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。

攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。

该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。

除了直接攻击SMB服务端造成RCE外,该漏洞得亮点在于对SMB客户端的攻击,攻击者可以构造特定的网页,压缩包,共享目录,OFFICE文档等多种方式触发漏洞进行攻击。

【漏洞版本】

漏洞影响Windows 10 1903之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。Windows 7不受影响。

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

【漏洞等级】高危

【漏洞影响】

对于政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点,均为潜在攻击目标。黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于永恒之蓝,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。

从漏洞公开至今近3个月,仍有近三分之一存在漏洞的系统未对该高危漏洞进行修补。

 

【解决方案】

企业用户:

1.  腾讯T-Sec云防火墙拦截黑客利用CVE-2020-0796漏洞对云主机的网络攻击。

2.  腾讯T-Sec主机安全系统(云镜)支持检测云主机是否受SMBGhost漏洞的影响。

3.  腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受该漏洞影响。 


腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

 

企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(yuzhi.qq.com)。

4.  企业用户可使用腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta

5.  企业终端可采用腾讯T-Sec终端安全管理系统(御点)拦截利用该漏洞的攻击:

企业网管还可采用腾讯T-Sec终端安全管理系统(御点)的全网漏洞扫描修复功能,全网统一扫描、安装KB4551762补丁。

部署腾讯T-Sec终端安全管理系统(御点)拦截病毒木马入侵,更多信息可参考链接:https://s.tencent.com/product/yd/index.html

6.  也可使用Windows 更新安装补丁,操作步骤:设置->更新和安全->Windows更新,点击检查更新

个人用户

1.  推荐个人用户采用腾讯电脑管家的漏洞扫描修复功能安装补丁,腾讯电脑管家同时为未安装管家的用户单独提供了SMB远程代码漏洞修复工具

2.  个人用户也可直接运行Windows 更新,完成补丁的安装。操作步骤:设置->更新和安全->Windows更新,点击检查更新

 

【时间线】

1.   2020311日,国外某厂家发布规则更新,披露疑似SMB严重漏洞;

2.   2020311日,微软发布临时缓解方案:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

3.   2020311日,腾讯电脑管家官微发布“CVE-2020-0796:疑似微软SMB协议蠕虫级漏洞初步通告

4.   2020312日晚,微软官方发布CVE-2020-0796安全公告;

5.   2020312日晚,腾讯安全发布远程无损检测工具;

6.   2020414日,国外研究者发布疑似漏洞利用EXP演示视频,并声称继续公布细节,腾讯安全团队随后发布SMB v3远程代码执行漏洞CVE-2020-0796安全通告更新;

7.   202062日,国外安全研究人员发布SMBGhost漏洞利用源代码,使漏洞利用风险骤然升级。

【参考链接】

CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

史诗级漏洞!SMBv3远程代码执行漏洞CVE-2020-0796安全通告
https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q

CVE-2020-0796漏洞技术分析
https://mp.weixin.qq.com/s/HZFS7AaDvSyDbjCfr7kwyg

SMBv3远程代码执行漏洞CVE-2020-0796安全通告更新
https://mp.weixin.qq.com/s/CB5YPmstiR-y2wxiO_VRvg

最新资讯