当前位置: 首页 > 行业动态行业动态

深信服紧急提供解决方案,SMBv3新漏洞危害堪比永恒之蓝

发布时间:2020-03-14 13:31:49点击量:

1-20031413322O07.png

3月12日,微软正式发布安全补丁公告披露一个最新的SMBv3远程代码执行漏洞(CVE-2020-0796),攻击者利用该漏洞无须任何权限即可实现远程代码执行。 该漏洞类似于永恒之蓝,存在被蠕虫化利用从而导致规模受攻击可能,深信服建议广大用户务必及时更新安全补丁,加强攻击防御。

漏洞名称:微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796

漏洞类型:远程代码执行

威胁等级:高危

影响范围:Windows 10 1903,1909;Windows Server 1903,1909

利用难度:容易

漏洞描述

Microsoft服务器消息块(SMB)协议是Microsoft Windows中使用的一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。

Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。

利用该漏洞,黑客可直接远程攻击SMB服务端远程执行任意恶意代码,亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。

由于此漏洞危害大,且漏洞信息已快速传播,信服君建议用户尽快安装安全更新补丁,并做好防御措施。

影响范围

目前受影响的Microsoft版本分别为:

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

漏洞详细分析

1、首先,SMB调用srv2!Srv2ReceiveHandler函数接收数据包,并根据ProtocolId设置对应的处理函数:

▲Srv2ReceiveHandler函数

如果判断数据包中为压缩的数据(ProtocolID = 0xfc4d5342),则调用Srv2DecompressMessageAsync函数。

2、srv2!Srv2DecompressMessageAsync函数会继续调用 Srv2DecompressData函数:

▲Srv2DecompressMessageAsync函数

▲Srv2DecompressData函数

在Srv2DecompressData函数中,使用SrvNetAllocateBuffer进行内存分配时,未对OriginalCompressedSegmentSize和Offset/Length的长度进行任何检查,对二者的和也未进行安全检查。

3、srv2!Srv2DecompressData函数调用

SmbCompressionDecompress函数,进而调用

nt!RtlDecompressBufferXpressLz函数进行实际的数据解压过程。

4、在nt!RtlDecompressBufferXpressLz函数进行数据解压缩时,首先进行smb compress协议数据包的解析,获取需要解压缩数据的大小,并和之前通过SrvNetAllocateBuffer分配的buffer的OriginalCompressedSegmentSize值进行比较,确认其大小不大于OriginalCompressedSegmentSize,然后进行内存拷贝:

▲nt!RtlDecompressBufferXpressLz函数

5、若v21大于

OriginalCompressedSegmentSize,则返回0xC0000242错误。因为在步骤2中进行内存分配时没有做长度检查,所以如果传入一个很大的OriginalCompressedSegmentSize值触发整数溢出,此时v21就可以设置一个极大值,但可以通过对decompress size的判断,最终调用qmemcpy拷贝一个极大的size导致缓冲区溢出。

而在微软的补丁包中,添加了对两个长度的检查,以此来确保不会发生溢出。

利用此漏洞,远程未经身份验证的攻击者通过使用SMBv3连接到易受攻击的Windows计算机,或通过使易受攻击的Windows系统启动与SMBv3服务器的客户端连接,就可以在易受攻击的系统上以SYSTEM特权执行任意代码。

▲上下滑动查看详细内容

解决方案

1.漏洞检测

建议用户通过漏洞检测工具对网络中的漏洞威胁进行排查。

深信服云眼已完成检测更新,可对用户线上服务器进行探测,保障用户业务安全。如需检测互联网业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费体验。注册地址为:https://saas.sangfor.com.cn

深信服云镜同样在漏洞披露的第一时间即完成检测能力的发布,部署云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响。离线使用云镜的用户需下载离线更新包来获得漏洞检测能力。

2.漏洞修复

微软目前已发布针对此漏洞的安全更新补丁,深信服建议广大用户及时确认所用Windows版本,并下载对应版本安全补丁进行更新:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

深信服终端安全检测响应平台EDR,已完成漏洞规则库的紧急更新,支持该漏洞的检测及补丁分发。EDR3.2.10及以上版本需要升级相应的SP包,更新漏洞补丁规则库版本到202031317395,即可检测漏洞并分发补丁进行漏洞修复。联网用户可直接在线更新, 离线升级包及漏洞补丁规则库已上传至深信服社区,有需要的用户请到深信服社区下载。

3.漏洞防御

建议用户更新安全设备相关防护策略,防范相关漏洞攻击。

深信服下一代防火墙AF已经更新漏洞规则库,相关用户更新至最新的安全防护规则,即可轻松抵御此高危风险。

深信服安全感知平台SIP同样可以检测利用该漏洞的攻击,并实时告警,同时可联动深信服下一代防火墙、深信服EDR等产品实现对攻击者IP的封堵。

深信服安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力。针对该漏洞,安全运营服务提供漏洞检查、安全设备策略检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

此外,个人用户也可通过手动修改注册表,防止被黑客远程攻击:运行regedit.exe,打开注册表编辑器,在

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。


声明:

1、中联信网络科技(苏州)有限公司所提供产品全部为原厂正规产品,我司不出售翻新机,二手机,等残次品;硬件保修政策及时长按设备原制造厂执行,支持三包规定。

2、价格:官网上列出的价格为含增值税专用发票价格;硬件设备产品含税13%,工程服务含税9%,技术服务含税6%。

3、服务:网站标明的价格为商品本身含税价格,不含其它设定和安装服务;如需要安装设定服务请联系销售人员另行报价。无价格的商品为按需配置的项目商品,需联络销售人员报价。

4、方案:官网所述之方案非完整方案,且并不适用于所有的应用场景,请勿盲目套用。

5、新闻:大多摘自互联网,如有侵权,请与我们联系。

6、运费:苏州,无锡,南通,常州,泰州,镇江,扬州地区免费送货上门,其它地区快递发货。

7、结算:苏州,无锡,南通,常州,泰州,镇江,扬州地区支持账期和月结的结算方式,具体可与销售人员协商。其它地区均为现金结算。

8、其它:服务申明最终解释权归中联信所有,其它未尽事项请与我们联系。

加载中~
地址:苏州市工业园区腾飞创新园塔楼A1-1106  电话:0512-87875019  手机:18151771039
Copyright © 2014-2020 中联信 版权所有 Powered by EyouCms  ICP备案编号:苏ICP备14051007号-1