[工具]Windows SMBv3 远程代码执行漏洞 (CVE-2020-0796 ) POC

作者: hackliu 分类: 安全工具 发布时间: 2020-03-12 15:58

漏洞等级

严重

CVE

CVE-2020-0796

漏洞简介

2020.03.10 思科Talos团队和Fortinet公司发布了一个Smbv3 0day, 该漏洞尚未在微软本月补丁日出现,目前没有任何技术详细信息,但漏洞评级为最高等级, 且截止(2020.03.10)没有补丁发布。

漏洞危害

经斗象安全应急响应团队分析, 该漏洞类型为SMB缓冲区溢出,未经授权的远程攻击者可以通过精心构造的请求包进行远程代码执行,不排除攻击客户端的可能性。

影响范围

Windows 10 Version 1903 32-bit 

Windows 10 Version 1903 x64 

Windows 10 Version 1903 ARM64 

Windows Server, version 1903 (系统核心)

Windows 10 Version 1909 32-bit 

Windows 10 Version 1909 x64 

Windows 10 Version 1909 ARM64 

Windows Server, version 1909 (系统核心)

 

修复方案

1. 截止2020.03.11 暂无对应补丁

2. 缓解措施为暂时关闭445端口对外开放或禁用SMbv3 compression

       禁用SMbv3 compression 可以在SMBv3 ServerPowershell中执行如下代码

       Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

       1.进行更改后,无需重新启动。

       2.此解决方法不能防止利用SMB客户端。

3.在必要情况下阻止所有进出的445流量

参考:https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections

 

漏洞验证(POC)

cve-2020-0796-master.zip

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注