[名前]の脆弱性
SMBリモートでコードが実行される脆弱性(CVE-2020から0796)、セキュリティ研究者は、「SMBGhost」と命名しています。
[脆弱性の説明]
Microsoftの3月11日、リスクの高い脆弱性CVE-2020から0796のデータの数を明らかにしなかった月ルーチンのアップデートでリリース、しかし、脆弱性が最も壮観でした。後期次の日(2020年3月12日)マイクロソフト公式にリリースされ、リスクの高い脆弱性CVE-2020から0796のパッチ。
SMBプロトコル3.1.1するデータセキュリティチェックせずに圧縮されたメッセージを処理する際に、直接使用することは、リモートで任意のコードを実行する攻撃者によって悪用される可能性があり、メモリ破損脆弱性を引き起こす可能性があります。
単にハッカーによって、ターゲットシステム上のリモートコード実行の許可なしに脆弱性を悪用し、攻撃者は、オンライン侵入を切り替えることができます。
この脆弱性の影響は、非常に近い永遠ブルーシリーズで最高権威のシステムを得るために、WindowsのSMBの脆弱性、リモートの攻撃者が使用している、WannaCry恐喝ワームは永遠ブルーシリーズは、大惨事を作ったツールを利用し使用することです。直接攻撃に加えて、RCE SMBサーバになったが、攻撃はSMBクライアントのハイライトだったという脆弱性は、攻撃者が特定のウェブページ、アーカイブを構築し、方法カタログ、オフィス文書のさまざまなを共有し、攻撃への脆弱性をトリガすることができます。
脆弱性は、一部の外国証券会社が誤って脆弱性の有無に関する情報を発表した月でMicrosoftの定期的なアップデートのリストに表示され、その後、業界の懸念につながるものではありません。
[バージョン]の脆弱性
脆弱性は、Windowsの10 1903、ホームエディション、プロフェッショナル版、エンタープライズ版、教育版を含むWindowsの64ビット版、後の各32の脆弱性をwin7のには影響を与えません。
32ビットシステム用のWindows 10のバージョン1903
x64ベースシステム用のWindows 10のバージョン1903
ARM64ベースのシステム用のWindows 10のバージョン1903
Windows Serverのバージョン1903(Server Coreのインストール)
32ビットシステム用のWindows 10のバージョン1909
x64ベースシステム用のWindows 10のバージョン1909
ARM64ベースのシステム用のWindows 10のバージョン1909
Windows Serverの1909年バージョン(Server Coreのインストール)
これは、広く使われている個人、企業環境では、現在主流のオペレーティングシステムのバージョンです。
[タイプ]の脆弱性
リモートでコードが実行されます
[レベル]の脆弱性
高リスク
[番号] CVE-2020-0796
[インパクト]脆弱性
直接公衆に露出1,000万台、周りに存在していてもよい総体積SMBサービスワールドワイド抜け穴は、攻撃の最初のラウンドであってもよいことを条件とするT-SECネットワーク資産リスク監視システム(テンセントゆう知られている)のデータによれば、脆弱性を標的とします。
政府機関は、Windows 1903 10の終了後、すべてのネットワーク・ノードの使用で企業や機関は、ハッカーがに潜入したら、あなたは永遠の青限り、増殖ネットワークを含む、統合的リスクを対象と脆弱性攻撃ツールを使用することができ、潜在的な標的であります、WannaCry恐喝ワームは、大惨事をした永遠の青シリーズ悪用ツールを使用することです。
[ソリューション]
ビジネスユーザー:
1は、セキュリティの脆弱性への包括的なテストの企業ネットワーク資産かどうかT-SECネットワーク資産のリスク検出システム(テンセントゆうノウハウ)の使用をお勧めします。
T-SECネットワーク資産リスク検出システム(テンセントロイヤル知られている)は、企業のネットワーク資産の自動検出であり、その危険物を識別します。アプレット、クラウドホスティング、資産、企業のウェブサイトの危険性をモニタリングするオールラウンドすることができ、弱いパスワードの検出、Web脆弱性スキャン、機密性の高いコンテンツを怒らせるの検出、サイトの改ざん検出、検出を採掘馬の多くの種類にリンクされているリスク資産が含まれています。
ビジネスユーザーは、T-SECネットワーク資産のリスク検出システム(yuzhi.qq.com)を無料で利用でき、次のQRコードをスキャンすることができます。
2、T秒端末セキュリティ管理システム(テンセントインペリアル・ポイント)は、アップグレードされたリードを取ったこの脆弱性を利用して攻撃をブロックすることができます。
企業ネットワークは、パッチKB4551762をインストールし、T-SECをネットワーク全体スキャン統一端末セキュリティ管理システム全体のネットワーク脆弱性スキャン修復(ロイヤルテンセント点)を使用することができます。
します。https://s.tencent.com/product/yd/index.html詳細については、T-SECの端末セキュリティ管理システム(テンセントインペリアルポイント)ウイルストロイの木馬侵入遮断の展開は、リンクを参照してください。
3、推奨ビジネスユーザーは、ハッカーの攻撃を検出するために、T-SEC高度な脅威検出システム(テンセントロイヤル円)を展開します。
T-SEC高度な脅威検出システム(テンセント王室円)は、テンセント、クラウドおよび大規模なデータ端末に依存する、テンセントのセキュリティ機能をベースに、独自の脅威インテリジェンスと迅速かつ効果的に企業ネットワークにハッカーを検出することができますマルウェア検出モデルシステムを開発様々な侵略浸潤攻撃リスク。参考リンクします。https://cloud.tencent.com/product/nta
4、テンセントは、SMBセキュリティリモートコード実行の脆弱性スキャンツールを開始し、管理者がリモートでセキュリティ上の脆弱性のための全体のネットワーク端末を検出するためにこのツールを使用することができます。
適用する必要がSMB、リモートでコードが脆弱性スキャンツールを取得するために、攻撃者に悪用されるのを避けるために、アプリケーション・プロセスのリファレンス:
https://pc1.gtimg.com/softmgr/files/20200796.docx
5、ビジネスユーザーもクリックし、Windowsで設定したパッチをインストールするには、Windows Updateを使用することができます「アップデートとセキュリティを。」
個々のユーザ
1、個々のユーザーにも直接すべてのパッチをインストールし、Windows Updateを実行することができます。
2、個々のユーザーは手動でも、ハッカーにリモート攻撃を防ぐために、レジストリを変更することができます。
Regedit.exeを実行し、レジストリエディタを開き、HKLM \ SYSTEM \ CURRENTCONTROLSET \ Servicesの\のLanmanServer \パラメータ、1の値のDWORD名前のDisableCompressionを作成し、SMB圧縮を禁止します。
[タイムライン]
1、2020年3月11日、外国メーカーが疑わSMB重大な欠陥を開示することを定期的にアップデートをリリース。
2、Microsoftは一時的な軽減プログラムをリリースします。https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
3、2020年3月11日、テンセントのマイクロコンピュータの家政婦の公式リリース「CVE-2020から0796:MicrosoftのSMBプロトコルが疑わ "ワーム・クラスの抜け穴予告」。
23:00 4、2020 3月12日、マイクロソフトセキュリティ情報CVE-2020から0796の公式リリースに。
5、2020年3月12日、テンセントは、セキュリティ、遠隔非破壊検査ツールをリリースしました。
参考リンク:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796