無意中泄露Windows SMBv3蠕蟲漏洞的示例分析

本篇文章給大家分享的是有關無意中泄露Windows SMBv3蠕蟲漏洞的示例分析，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

魅影重重，消失的CVE-2020-0796漏洞

BleepingComputer之前從別處獲悉Microsoft 3月會發布一個蠕蟲SMBv3遠程代碼執行漏洞（CVE-2020-0796）的補丁，但是Microsoft卻沒有發布。

關于該漏洞的信息并不多，但是該漏洞非常嚴重，感覺像是另一個永恒之藍（EternalBlue）類型的漏洞。

CVE-2020-0796存在于Server Message Block 3.0（SMBv3）網絡通信協議中，源于SMBv3處理惡意構造的壓縮數據包時存在一個錯誤。遠程，未經身份認證的攻擊者可利用該漏洞在應用程序的上下文中執行任意代碼。

雖然Microsoft沒有發布該漏洞的安全公告，也沒有做出任何解釋，但是Fortinet公司和CiscoTalos團隊都提供了該漏洞的信息，不過Cisco Talos團隊隨后將其刪除。

Cisco Talos指出，“攻擊者可通過向目標SMBv3服務器發送一個特制的數據包利用該漏洞，受害者需要連接該服務器，”“利用該漏洞可導致系統遭到蠕蟲式攻擊，也就是說漏洞可輕易地在受害者之間傳播。”

Fortinet指出，如成功利用該漏洞，遠程攻擊者可完全控制用戶系統。根據Fortinet發布的公告內容，受到影響的版本如下：

?  Windows 10 Version 1903

?  Windows Server Version 1903（Server Core installation）

?  Windows 10 Version 1909

?  Windows Server Version 1909（Server Core installation）

鑒于Microsoft在Windows 8和Windows Server 2012就開始使用SMBv3，該漏洞應該會影響更多的版本。

令人遺憾的是，關于該漏洞的其他信息并不多。在Microsoft發布CVE-2020-0796的安全更新之前，CiscoTalos已刪除的緩解措施目前看來最可靠，Talos建議用戶禁用SMBv3壓縮并屏蔽客戶端計算機和防火墻上的 TCP端口445。

Microsoft就如何禁用SMBv3壓縮保護服務器免遭漏洞利用發布了一則安全公告。根據該公告內容，用戶可以使用以下PowerShell命令禁用SMBv3服務器上的壓縮（不需要重啟）。需要注意的是，此舉并無法阻止對SMB客戶端的利用。

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 –Force

本月有意思的漏洞

利用CVE-2020-0872竊取源代碼

CVE-2020-0872漏洞的標題為“Application Inspector中的遠程代碼執行漏洞”，攻擊者可利用該漏洞竊取在Application Inspector中打開的文件的源代碼。

根據Microsoft的安全公告，Application Inspector 1.0.23及之前版本中存在一個遠程代碼執行漏洞。當Application Inspector將來自第三方源文件的示例代碼段顯示在自己的HTML輸出中，就會出現遠程代碼執行漏洞。攻擊者可利用該漏洞將包含代碼段的報告章節發送給外部服務器。要利用該漏洞，攻擊者需要誘使用戶運行Application Inspector含有惡意第三方組件的源代碼。

武器化的LNK文件和Word文檔

Microsoft此次修復的兩個新漏洞可允許攻擊者創建特制的.LNK文件或Word文檔，從而在用戶打開該文件或文檔時執行代碼。

第一個漏洞為CVE-2020-0684，標題為“LNK遠程代碼執行漏洞”。攻擊者可利用該漏洞創建惡意LNK文件，進而執行代碼。Microsoft在公告中表示，攻擊者會向用戶展示一個可刪除驅動或遠程共享，其中包含一個惡意.LNK 文件以及相關聯的惡意二進制文件。當用戶在Windows Explore中或任何解析該.LNK文件的應用程序中打開該驅動（或遠程共享）時，該惡意二進制文件就會在目標系統上執行受攻擊者控制的代碼。

第二個漏洞為CVE-2020-0852，標題為“Microsoft Word遠程代碼執行漏洞”。攻擊者要利用該漏洞，用戶必須使用受影響的Microsoft Word軟件打開特制的文件。攻擊者可以向用戶發送含有特制Word附件的電子郵件，并誘使用戶打開該附件；或者通過托管含有特制文件的網站，也可通過入侵接收或托管用戶提交的內容的網站，誘使用戶打開Word文檔，從而執行代碼。

更糟的是，該漏洞對Outlook的預覽窗格也起作用。

2020年3月周二補丁日安全更新列表

下表是Microsoft本月周二補丁日修復的部分漏洞。

以上就是無意中泄露Windows SMBv3蠕蟲漏洞的示例分析，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。