CVE-2020-0796 reproducción vulnerabilidad SMBv3Rce
0X00 vulnerabilidad Perfil
Microsoft Windows y Microsoft Windows Server son los Estados Unidos de Microsoft (Microsoft) productos de la empresa, Microsoft Windows es un juego de equipo individual utilizado por el sistema operativo, Microsoft Windows Server es un sistema operativo de servidor, Server Message Block es uno de los acuerdo de transferencia de información del servidor .
Microsoft anunció el "tipo gusano" vulnerabilidad de ejecución remota de código pre-autorizada que se encuentra en el bloque de mensajes Server 3.0 (SMBv3).
0X01 vulnerabilidades
(CVE-2020-0796 SMBGhost) produjo La vulnerabilidad es causada error de protocolo SMBv3 al procesar una maliciosos paquetes de datos comprimidos causadas, permite que un atacante remoto sin autenticación y ejecutar código arbitrario en el sistema de destino.
0x02 afecta a la versión
Adecuado para sistemas de 32 bits de Windows 10 versión 1903
versión de Windows 101 903 (basado x64-)
versión de Windows 101 903 (basado en un sistema de ARM64)
Windows Server 1903 (instalación de Server Core)
Adecuado para sistemas de 32 bits de Windows 10 versión 1909
Windows 10 versión de 1909 (basado x64-)
versión de Windows 101 909 (basado en un sistema de ARM64)
Versión de Windows Server 1909 (instalación Server Core)
0x03 entorno para construir
Win10 sistema se puede configurar en una máquina virtual para reproducirse. Dejar un mensaje si es necesario para obtener el archivo ISO.
detección vulnerabilidad 0x04
script de detección de la vulnerabilidad tiene mucho que compartir brevemente dos meses.
herramienta de detección de GitHub: https://github.com/ollypwn/SMBGhost
A cert medios de detección susurro canal disponible.
Una demostración herramienta de detección:
Ip dirección de win10, se requiere la prueba local para ser el estado win10 cortafuegos de ping cerrado.
exploits 0x05
Ahora tenemos una pantalla azul poc, poc susurro adquisición.
El ataque puede llevarse a cabo después de instalar las bibliotecas dependientes poc requeridos.
Después del ataque, la pantalla azul de la máquina de ataques
correcciones de errores 0x06
Actualmente los fabricantes han lanzado parche de actualización para la vulnerabilidad de arreglos, parches obtener el enlace:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796
O puede utilizar el siguiente comando PowerShell para desactivar la compresión servicios SMBv3 (sin reiniciar):
Set-ItemProperty -path " HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters " DisableCompression -Tipo DWORD -Valor 1 -Force
Además, también se puede prevenir ataques al desactivar el flujo de tráfico SMB fuera de la red.