专栏首页云鼎实验室的专栏安全通告丨Windows SMB远程代码执行漏洞安全通告(CVE-2020-0796)

安全通告丨Windows SMB远程代码执行漏洞安全通告(CVE-2020-0796)

腾讯云鼎实验室发现微软周二补丁日披露了一个SMB服务的重大安全漏洞,攻击者利用该漏洞无须权限即可实现远程代码执行,该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB服务漏洞远程攻击获取系统最高权限。

为避免您的业务受影响,腾讯云安全中心建议您采用T-Sec 网络资产风险检测系统开展安全自查,如在受影响范围,请您及时更新修复Windows补丁,避免被外部攻击者入侵。同时建议使用T-Sec高级威胁检测系统检测攻击行为,升级T-Sec终端安全管理系统(御点)拦截漏洞,开启全方位安全防御。

【风险等级】

高危

【漏洞风险】

远程代码执行攻击

【漏洞详情】

SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。

【影响版本】

漏洞不影响Windows 7,漏洞影响Windows 10 1903之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)

正是目前主流操作系统版本,在个人、企业环境应用广泛。

【漏洞影响】

根据腾讯T-Sec网络资产风险监测系统(腾讯御知)提供的数据,目前全球范围可能存在漏洞的SMB服务总量约10万台,直接暴露在公网,可能成为漏洞攻击的首轮目标。

对于政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点,均为潜在攻击目标,黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于永恒之蓝。

【修复建议】

➤ 企业用户及云用户

  • 微软官方已发布漏洞修复更新,腾讯云安全团队建议您:及时更新系统补丁——设置->更新和安全->Windows更新,点击“检查更新”,根据业务情况开展评估,下载并安装相应的安全补丁,更新后重启系统生效,并观察系统及业务运行状态。
  • 推荐企业采用腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受安全漏洞影响。腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)。
  • 腾讯T-Sec终端安全管理系统(御点)已率先升级,可拦截利用该漏洞的攻击。企业网管还可采用腾讯T-Sec终端安全管理系统(御点)的全网漏洞扫描修复功能,全网统一扫描、安装KB4551762补丁。 部署腾讯T-Sec终端安全管理系统(御点)拦截病毒木马入侵,更多信息可参考链接:https://s.tencent.com/product/yd/index.html。
  • 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。 参考链接:https://cloud.tencent.com/product/nta。
  • 腾讯安全率先推出SMB远程代码执行漏洞扫描工具,管理员使用该工具可远程检测全网终端是否存在安全漏洞。 为避免被攻击者滥用,索取SMB远程代码执行漏洞扫描工具须获得公司授权,申请流程:

a.获取公司授权:下载并按要求填写《获取SMB远程代码执行漏洞扫描工具申请书》,签字并加盖申请公司的公章。

下载地址:https://pc1.gtimg.com/softmgr/files/20200796.docx

b.发送授权文件:将符合要求的文件以PDF格式发送至邮箱es@tencent.com,邮件名称及PDF附件统一命名为【申请检测工具+公司名】

➤ 个人用户

  • 推荐个人用户采用腾讯电脑管家的漏洞扫描修复功能安装补丁,腾讯电脑管家同时为未安装管家的用户单独提供了SMB远程代码漏洞修复工具。
  • 个人用户也可直接运行Windows 更新,完成补丁的安装。
  • 个人用户也可通过手动修改注册表,防止被黑客远程攻击:

运行regedit.exe,打开注册表编辑器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。

对于威胁情报的收集、处理、分析、传递,到反馈应对策略,每一个环节都需要海量数据以及强大技术“后盾”支撑。作为深耕网络安全20余年的腾讯安全,通过腾讯安全威胁情报中心,结合多年黑灰产对抗经验,对海量安全数据进行过滤和自动识别,形成威胁情报库,再从攻击意图、策略以及方法等进行行为模式分析,归入到不同事件等级,进而对外预警和响应,帮助各组织在庞大网络体系中快速反应,以应对不同层级的网络风险,可阅读《一文透析腾讯安全威胁情报能力》,了解更多信息。

关于云鼎实验室

腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新,以及云标准化与合规体系建设等工作。通过机器学习与大数据技术实时监测并分析各类风险信息,同时,云鼎实验室帮助客户抵御高级可持续攻击,并联合腾讯安全其他实验室进行安全漏洞的研究,确保云计算平台整体的安全性,且相关能力通过腾讯云开放出来。云鼎实验室在云安全领域的研究与实战积累,使得腾讯云能够为企业和创业者提供集云计算、云数据、云运营于一体的云端服务体验,同时也是最可信的安全防护平台之一。

关注云鼎实验室,获取更多安全情报

建议采用T-Sec 网络资产风险检测系统开展安全自查。点击“阅读原文”,即可免费试用。

本文分享自微信公众号 - 云鼎实验室(YunDingLab),作者:腾讯安全

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【内有福利】真实云上攻防10.24开战,探索产业安全新边界

    你可能听说过给手机、电脑、智能设备、甚至智能网联汽车找漏洞,给云服务“挖”漏洞的比赛,见过吗? 云计算在现实世界正在扮演者越来越重要的角色,用户衣食住行的背后...

    云鼎实验室
  • 紧急预警 | Windows 新“蠕虫级”远程桌面服务漏洞风险预警(CVE-2019-1181/1182)

    近日,腾讯云安全中心监测到微软于周二补丁日发布了新的“蠕虫级”远程桌面服务高危漏洞预警及8月安全补丁更新公告,一共披露了97 个漏洞,攻击者可利用漏洞进行本地...

    云鼎实验室
  • 紧急预警丨威胁堪比永恒之蓝,微软高危RDP漏洞利用代码已被公布,请尽快修补!

    微软于5月15日发布的远程桌面服务代码执行漏洞(CVE-2019-0708)可导致远程控制的利用代码已被Metasploit公开发布,经测试真实可用,该漏洞危...

    云鼎实验室
  • Win10高危漏洞遭黑产攻击!腾讯安全紧急响应全面拦截

    近日,微软发布CVE-2020-0601漏洞公告,修补了Windows加密库中的CryptoAPI欺骗漏洞。该漏洞可被利用对恶意程序签名,从而骗过操作系统或安全...

    腾讯安全
  • CVE-2019-0708漏洞复现

    前不久关于RDP的0708漏洞网上一片哀嚎,今天测试复现了一下,发现攻击之后,都会使得系统蓝屏。该漏洞影响范围较广,windows2003、window...

    墙角睡大觉
  • 渗透一个网站需要做的事情

    一,开始信息收集 1,获取域名的whois信息,获取注册者邮箱姓名电话等。 2,查询服务器旁站,因为主站一般比较难,所以先看看旁站有没有通用性的cm...

    奶糖味的代言
  • 漏洞盒子发布《2015上半年度金融行业互联网安全报告》

    作为世界第二大经济体的中国经济,一举一动总是会成为全球瞩目的焦点。2015年中国股市如同乘坐了过山车一般在股民惊悚的叫喊声中度过了不太平的半年。而中国在上半年还...

    FB客服
  • 2015上半年度金融行业互联网安全报告

    大数据文摘
  • 预警 | Windows再爆SMB服务0day漏洞 安恒信息提供一键修复工具

    在刚刚结束的2017年度DEFCON大会上,安全研究人员曝光了一个潜伏在Windows系统上长达20年之久的安全漏洞。该漏洞被命名为SMBLoris,攻击者使用...

    安恒信息
  • 奇点真的存在吗?面对强人工智能我们应该乐观还是悲观?

    大数据文摘

扫码关注云+社区

领取腾讯云代金券