专栏首页BypassCVE-2020-0796,又是一场补丁攻坚战

CVE-2020-0796,又是一场补丁攻坚战

每年真正比较有影响力的漏洞编号,其实并不多,而这个CVE-2020-0796,就是我们在疫情之下全面返岗伊始,最值得去重视的一个。

2020年3月12日晚,微软正式发布CVE-2020-0796高危漏洞补丁。这就意味着,一场与时间赛跑的攻防对抗开始了,要赶在攻击开始之前,保护系统并为其打上补丁。

通过这个漏洞,攻击者无需任何权限,即可利用漏洞直接攻击SMB服务端造成RCE,而且可以通过OFFICE文档、网页、压缩包等多种形式传递给目标用户,从而触发漏洞进行攻击。

这次漏洞的亮点在于针对SMB客户端的攻击,而且主要影响Win10系统的个人用户。试想一下,如果将这个漏洞大规模地应用于钓鱼攻击,一旦受害者点开了钓鱼邮件中的url或附件,很容易就中招了。

打补丁是预防病毒感染最有效的一种方式,但往往越是简单的事情,越难以做到。数以上万的终端,如何才能让用户意识到打补丁的重要性,及时下载补丁修复此漏洞,这无疑将是一场攻坚战。

本文收集和整理了一些方法和工具,用于开展补丁安装攻坚。


1、如何检查操作系统版本?

作为个人用户,检查系统版本,可初步确认是否受到影响,(受影响版本:1903和1909)。

运行---输入winver,单击确定。如下图所示,我的系统版本是:Windows 10 Version 1903。

2、漏洞修复工具

A、腾讯电脑管家SMB漏洞修复工具,下载地址:

http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe

B、安天 SMBv3的RCE漏洞强化工具,下载地址:

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83848

3、漏洞扫描工具

从MS17-010开始,再到CVE-2019-0708,都有一些安全厂商发布针对单一漏洞的远程漏洞扫描工具。这本是一件幸事,可以帮助更多的企业快速探测自身网络资产漏洞情况。

而到了现如今的CVE-2020-0796,漏洞扫描工具的获取越来越难了。比如,如果想要获取某安全厂商的SMB远程代码执行漏洞扫描工具,需填写申请书,签字并加盖单位公章,仅限自用。另外,某CERT在公众号发布了CVE-2020-0796快速扫描检测工具,随后删除了推文和工具下载地址,手慢的同学,你们已经错过啦。

在github,已经有了 CVE-2020-0796 的扫描脚本,可以借鉴一下,改成批量检测工具。项目地址:https://github.com/ollypwn/SMBGhost

import socket
import struct
import sys
from netaddr import IPNetwork

pkt = b'\x00\x00\x00\xc0\xfeSMB@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\x00\x08\x00\x01\x00\x00\x00\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x\x00\x00\x00\x02\x00\x00\x00\x02\x02\x10\x02"\x02$\x02\x00\x03\x02\x03\x10\x03\x11\x03\x00\x00\x00\x00\x01\x00&\x00\x00\x00\x00\x00\x01\x00 \x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\n\x00\x00\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00'

subnet = sys.argv[1]

for ip in IPNetwork(subnet):

    sock = socket.socket(socket.AF_INET)
    sock.settimeout(3)

    try:
        sock.connect(( str(ip),  445 ))
    except:
        sock.close()
        continue

    sock.send(pkt)

    nb, = struct.unpack(">I", sock.recv(4))
    res = sock.recv(nb)

    if res[68:70] != b"\x11\x03" or res[70:72] != b"\x02\x00":
        print(f"{ip} Not vulnerable.")
    else:
        print(f"{ip} Vulnerable")

4、缓解措施

A、建议您立即安装漏洞补丁更新,微软安全补丁下载,访问如下链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

B、如无法立即安装补丁,建议禁用SMBv3压缩

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

PS:无需重启,可以防止远程命令执行,但无法防止针对SMB客户端的攻击。

本文分享自微信公众号 - Bypass(Bypass--),作者:Bypass

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【代码审计】MIPCMS 远程写入配置文件Getshell

    MIPCMS - 基于百度MIP移动加速器SEO优化后的网站系统。在审计代码中,发现一个可以远程写入配置文件Getshell的漏洞,感觉挺有意思的,分享...

    Bypass
  • 10款常见的Webshell检测工具

    当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。

    Bypass
  • MySQL注入点写入WebShell的几种方式

    在工具化日益成熟的今天,手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时,应更深入的去了解工具帮你做了什么,把工具所产生的影响控制在自己可控的范围内。

    Bypass
  • Redis 基于主从复制的 RCE 利用方式

    在2019年7月7日结束的WCTF2019 Final上,LC/BC的成员Pavel Toporkov在分享会上介绍了一种关于redis新版本的RCE利用方式[...

    Seebug漏洞平台
  • golang-101-hacks(13)——二维切片

    注:本文是对golang-101-hacks中文翻译。 Go支持多维切片,再此只对二维切片切片做介绍。日常生活中通常会使用到二维切片,而多维似乎并不多见。如果...

    羊羽shine
  • 翻译:使用红外传感器与Arduino进行简单动作与手势检测

    译注:昨天看 Adruino 的 Twitter 推了这篇项目,第一眼就觉得非常有趣,翻译给大家看看。文中的红外传感器比较高级,和淘宝上5块钱的那种只能输出0和...

    张高兴
  • MikroTik-SMB 测试之 Mutiny-Fuzzer

    Mutiny是由思科研究人员开发的一款基于变异的网络fuzz框架,其主要原理是通过从数据包(如pcap文件)中解析协议请求并生成一个.fuzzer文件,然后基于...

    信安之路
  • 为了抓取弹幕,你需要知道的一些二进制数据常识

    文本不会讲具体某个网站的弹幕抓取方法。而是描述抓取到二进制的弹幕信息以后,如何进行处理。

    青南
  • C语言数组结合位运算实战-位移与查表

    在嵌入式项目开发中,LED灯的操作是一定要会的,也是基础中的基础,比如用51单片机写个跑马灯,这不简单嘛,定义一个数组把那8个跑马灯存起来,然后搞个for循环...

    morixinguan
  • 漏洞告之:SMBv3协议远程代码执行漏洞(附自查脚本)

    北京时间3月10日23时微软发布安全通告称Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代...

    Aran

扫码关注云+社区

领取腾讯云代金券