新闻中心
详情
3月10日,微软发布安全公告(ADV200005)称在Microsoft Server Message Block 3.1.1(SMBv3)协议中存在一个远程代码执行漏洞(CVE-2020-0796,又称“CoronaBlue”或“SMBGhost”)。
漏洞是由SMBv3协议处理恶意压缩数据包时进入错误流程造成的,远程未经身份验证的攻击者可以利用该漏洞造成目标主机系统崩溃、蓝屏甚至执行任意代码。SMB允许多个客户端访问共享文件夹,并且可以为横向移动和客户端到客户端感染提供丰富的恶意软件游乐场。这在2017年的SMB版本1中得到了体现,当时WannaCry勒索软件使用了疑似隶属于NSA的TAO组织开发的EternalBlue SMB漏洞在全球范围内迅速自我传播。尽管此次漏洞很危险,但研究人员表示,该漏洞可能不会导致“ WannaCry 2.0”。
但是,该漏洞的存在并不“友善”,同样会给系统带来安全风险。由于漏洞可以直接用于远程攻击,并且可以“蠕虫化”,其危害程度类似于2017年的“永恒之蓝”漏洞。但相较于“永恒之蓝”,该漏洞影响的范围相对较小,只限于Windows 10以及Windows Server 的1903和1909版本,具体影响的版本号如下:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
微软解决方案:
微软已经发布了此漏洞的安全补丁,请访问如下链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
如果暂时无法更新补丁,可对受影响的操作系统使用以下缓解措施禁用SMBv3的压缩功能来进行防护。
首先查看自己使用的Windows版本是否为受影响的版本,方法如下:使用win + R后输入“WinVer”查看当前操作系统的版本号。
如果确认系统受影响,则建议使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞(无需重新启动)。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
网御星云产品解决方案
面对此次安全事件,网御星云再度整合安全产品资源,针对漏洞防护问题提出系列解决方案,实力保障用户网络安全。
解决方案一:产品升级提示
1、已部署网御星云IDS、IPS、WAF、APT产品的用户请确认如下事件规则已经下发并应用,即可有效检测相关攻击:TCP_CVE-2020-0796漏洞利用。
(1)网御入侵检测与管理系统(IDS)报警截图:
(2)网御入侵防御系统(IPS)报警截图:
(3)网御Web应用安全网关(WAF)报警截图:
(4)网御高级持续性威胁检测与管理系统(APT)报警截图:
2、网御漏洞扫描系统V6.0于2020年3月12日紧急发布针对该漏洞的升级包,支持对该漏洞进行检测,用户升级网御漏洞扫描系统漏洞库后即可对该漏洞进行扫描。升级包为607000278,升级包下载地址:http://www.leadsec.com.cn/companyfile/23/
请网御漏洞扫描系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
解决方案二:添加相应规则持续监控
已部署网御星云TSOC系列产品的用户单位,建议添加相应的规则持续对该行为进行监控。
关联规则:L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796说明:“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”关联规则是规则嵌套的规则,用于监测SMBv3漏洞【CVE-2020-0706】利用行为,同时也监测批量445端口访问的行为。
若接入TSOC平台的安全检测设备策略无升级、更新,可以单独使用“L2_ADS_批量445端口访问”规则对445端口访问情况进行监控。
注:“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则已包括“L2_ADS_批量445端口访问”,直接导入“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则包,无需单独配置“L2_ADS_批量445端口访问”。
“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则条件:
事件=(日志类型!=“关联事件”)&((设备类型属于(安全设备/安全防护网关、安全设备/web应用网关、安全设备/入侵检测、安全设备/安全防御、安全设备/防病毒系统、安全设备/恶意代码检测、安全设备/终端安全管理))&(目的端口=“445”)&(引用过滤器=“CVE20200796_安全设备”))|(引用规则=“L2_ADS_批量445端口访问”)
“CVE20200796_安全设备”过滤器条件:
事件=(日志类型!=“关联事件”)&((事件名称 包含 “Corona” )&(事件名称 包含 “Blue”)&(事件名称 包含 “漏洞”))|((事件名称 包含 “CVE-2020-0796” ))|((事件名称 包含 “SMBv3” )&(((事件名称 包含 “漏洞” )|(事件名称 包含 “连接” ))))
“L2_ADS_批量445端口访问”规则条件:
事件=(日志类型!=“关联事件”)&(目的端口=“445”)
“L2_ADS_批量445端口访问”次数设置:
解决方案三:通过NAC落实终端安全合规
目前,针对该漏洞,微软已经发布漏洞补丁,受影响的操作系统在进行补丁更新时,可以通过网御网络接入控制系统对入网终端进行安全基线核查,对未安装补丁的终端提供引导修复界面,及时查找协助安装相应补丁,防止漏网之鱼。与此同时,对于无法及时更新补丁的用户,可通过网御网络接入控制系统对入网终端进行合规检查,关闭远程桌面服务,保护系统安全。
网御网络接入控制系统能够对入网终端进行自动化基线核查,保证入网终端符合入网要求,同时,还可针对类似漏洞提供协助安装相应补丁并关闭远程桌面的服务。此外,对于不符合入网要求的终端,网御网络接入控制系统还能提供一键修功能,大大减轻管理人员的运维压力,保障了入网终端安全性。
请相关用户提高警惕性,尽快采取防范措施,及时根据上述方案做好相应检测。网御星云还将持续关注此类安全事件,全力保障用户网络安全。
扫二维码用手机看
北京网御星云信息技术有限公司 京ICP备05080314号-1
400-810-7766
成为伙伴 
视频中心 