[Name] Vulnerabilidade
Remoto Vulnerabilidade de Execução de Código SMB (CVE-2020-0796), pesquisadores de segurança chamado "SMBGhost".
[Vulnerabilidade Descrição]
Microsoft lançado em março de 11 marco uma atualização de rotina, que não revelou o número de CVE-2020-0796 dados vulnerabilidades de alto risco, mas a vulnerabilidade foi o mais espetacular. Tarde no dia seguinte (12 de Março de 2020) Microsoft lançado oficialmente vulnerabilidades de alto risco CVE-2020-0796 patch.
Quando SMB 3.1.1 protocolo de processamento de mensagem de comprimido, para o qual os dados sem verificações de segurança, uso direto pode causar vulnerabilidade de corrupção de memória que pode ser explorada por atacantes para remotamente executar código arbitrário.
O invasor que explorar a vulnerabilidade sem permissão para execução remota de código no sistema de destino simplesmente por hackers pode ser comutada invasão online.
As consequências desta vulnerabilidade é muito perto da Série Azul Eterno, estão usando as vulnerabilidades do Windows SMB um atacante remoto para obter o sistema mais alta autoridade, WannaCry extorsão verme é usar a série azul Eterno explora ferramentas feitas catástrofe. Além de ataque direto resultou em servidor RCE SMB, mas a vulnerabilidade que o ataque foi o destaque do cliente SMB, um atacante pode construir páginas web específicas, arquivar e compartilhar uma variedade de catálogo maneiras, documentos do Office, e acionar a vulnerabilidade a ataques.
A vulnerabilidade não aparecem na lista de actualização regular da Microsoft em março de alguma empresa de segurança externa liberado acidentalmente informações sobre a existência da vulnerabilidade, e, em seguida, levar a preocupações da indústria.
[Version] Vulnerabilidade
Vulnerabilidade não afeta o Win7, a vulnerabilidade de cada 32 após o Windows 10 1903, versão do Windows de 64 bits, incluindo Home Edition, Professional Edition, Enterprise Edition, Education Edition.
Windows 10 Versão 1903 para sistemas de 32 bits
Windows 10 Versão 1903 para sistemas baseados em x64
Windows 10 Versão 1903 para sistemas baseados em ARM64
Windows Server, Versão 1903 (Server Core instalação)
Windows 10 Versão 1909 para sistemas de 32 bits
Windows 10 Versão 1909 para sistemas baseados em x64
Windows 10 Versão 1909 para sistemas baseados em ARM64
Windows Server, Versão 1909 (Server Core instalação)
É a versão do sistema operacional dominante atual, em ambiente pessoal, corporativo amplamente utilizado.
[Type] Vulnerabilidade
Execução Remota de Código
[Nível] Vulnerabilidade
De alto risco
[No.] CVE-2020-0796
[Impact] vulnerabilidade
De acordo com dados do sistema de T-Sec ativos rede de monitoramento de risco (Tencent Yu sabe), desde que o total das lacunas a nível mundial de serviços de volume SMB que possam existir cerca de 10 milhões de unidades, diretamente expostos ao público, pode ser a primeira rodada de ataques direcionados às vulnerabilidades.
Para as agências governamentais, empresas e instituições no uso de todos os nós da rede após o fim do 10 1903 do Windows, são alvos em potencial, uma vez que hackers para infiltrar-se, você pode usar ferramentas de ataque vulnerabilidade alvo, incluindo a rede de proliferação, de risco integrado tanto quanto o azul eterno , WannaCry extorsão verme é usar a série azul eterna explora ferramentas feitas catástrofe.
[Solução]
Os usuários de negócios:
1, recomenda-se o uso de sistema de detecção de risco de ativos de rede T-Sec (Tencent Yu sabe) se um abrangente ativos de rede empresa de teste para vulnerabilidades de segurança.
sistema de T-Sec ativos rede de detecção de risco (Tencent Real conhecido) é uma detecção automática de ativos de rede da empresa e identificar os seus produtos de risco. Pode ser all-round monitoramento dos riscos de sítios ativos da empresa, nuvem de hospedagem, applets, contém detecção de senha fraca, varredura de vulnerabilidades Web, detecção de ofender conteúdo sensível, o site de adulteração de detecção, os ativos de risco ligados a muitos tipos de cavalos de mineração de detecção.
Os utilizadores empresariais podem digitalizar o seguinte código QR, utilização gratuita do sistema de detecção de risco de ativos de rede T-Sec (yuzhi.qq.com).
2, sistema de gerenciamento de segurança do terminal T-Sec (pontos Tencent Imperial) assumiu a liderança atualizado, pode bloquear ataques usando esta vulnerabilidade:
rede da empresa também pode ser usado T-Sec terminal do sistema de gerenciamento de segurança (ponto real Tencent) de toda rede de reparação varredura de vulnerabilidades e unificada varreduras de rede completas, instalar patches KB4551762.
Implantação de T-Sec sistema de gestão de segurança de terminal (Tencent imperial Point) do vírus Trojan invasão interceptação, para mais informações consulte o link: https: //s.tencent.com/product/yd/index.html.
3, os usuários de negócios recomendadas para implantar sistema de detecção avançada contra ameaças T-Sec (círculos Tencent reais) para detectar ataques de hackers.
T-Sec sistema de detecção avançada contra ameaças (Tencent círculos reais), baseia-se recursos de segurança Tencent, contando com Tencent nuvem e terminal de dados enorme, desenvolveu uma inteligência ameaça única e malwares sistema modelo de detecção que pode detectar com rapidez e eficácia hackers na rede corporativa vário risco invasão infiltração ataque. link de referência: https: //cloud.tencent.com/product/nta
4, Tencent lançou o código remoto ferramenta de varredura de vulnerabilidades de execução de segurança SMB, o administrador pode usar essa ferramenta para detectar remotamente os terminais de rede inteira para vulnerabilidades de segurança.
Para evitar ser abusada por um atacante para obter ferramentas remoto varredura de vulnerabilidades código SMB devem aplicar, o processo de aplicação de referência:
https://pc1.gtimg.com/softmgr/files/20200796.docx
5, os usuários de negócios também pode usar o Windows Update para instalar o patch, configurado no Windows, clique em "atualizações e segurança."
Os usuários individuais
1, os usuários individuais também pode ser executado diretamente atualização do Windows, instalar todos os patches.
2, usuários individuais também pode modificar manualmente o registro para impedir que hackers ataque remoto:
Run regedit.exe, abra o Editor do Registro, crie um DWORD DisableCompression nomeado em HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters, um valor de 1, proíbe a compressão SMB.
[Linha do Tempo]
1 de 2020 11 de março de fabricantes estrangeiros liberar atualizações regulares para divulgar suspeita SMB graves falhas;
2, a Microsoft lançou um programas de mitigação temporários: https: //portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
3, 2020 11 de março de Tencent micro-computador governanta lançamento oficial "CVE-2020-0796: protocolo SMB da Microsoft suspeita 'sem-fim-class' brecha anúncio preliminar";
4 de 2020 às 23:00 em 12 de março, o lançamento oficial da Microsoft boletim de segurança CVE-2020-0796;
5 de 2020 12 de março, Tencent lançado remoto de segurança ferramenta de testes não destrutivos.
links de referência:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
