网络安全研究人员今天发现了一个新的严重漏洞,该漏洞影响服务器消息块(SMB)协议,该漏洞可能使攻击者能够远程泄漏内核内存,并且与先前披露的“可蠕虫”错误结合使用时,可以利用该漏洞进行远程代码执行攻击。 。该漏洞被网络安全公司ZecOps
称为“ SMBleed ”(CVE-2020-1206),该漏洞存在于SMB的解压缩功能中-与SMBGhost或EternalDarkness bug(CVE-2020-0796)的功能相同,该功能在三个月前就被发现。使易受攻击的Windows系统容易受到可在网络之间传播的恶意软件攻击。
新发现的漏洞影响Windows 10版本1903和1909,Microsoft今天为其发布了安全补丁程序,作为其6月的每月补丁程序周二更新的一部分。
上周,美国网络安全和基础设施安全局(CISA)发布了一份警告,警告Windows 10用户在上周在线发布SMBGhost错误的利用代码之后更新其计算机。
SMBGhost被认为非常严重,其最高严重等级为10。
“虽然微软公开并提供针对该漏洞的更新在2020年三月,恶意网络行为的目标未打补丁的系统与新的PoC,根据最近的开源报道,” 中钢协表示。
运行在TCP端口445上的SMB是一种网络协议,为通过网络进行文件共享,网络浏览,打印服务和进程间通信提供了基础。
根据ZecOps研究人员的说法,该缺陷源于所涉及的解压缩功能(“ Srv2DecompressData ”)处理特制消息请求(例如SMB2 WRITE)的方式。)发送到目标SMBv3服务器,从而使攻击者可以读取未初始化的内核内存并修改压缩功能。
研究人员说:“消息结构包含字段,例如要写入的字节数和标志,后跟一个可变长度的缓冲区。” “这是利用此漏洞的完美之选,因为我们可以编写一条消息以指定标头,但可变长度缓冲区包含未初始化的数据。”
微软在其通报中说:“成功利用此漏洞的攻击者可以获取信息,以进一步危害用户的系统。要针对服务器利用此漏洞,未经身份验证的攻击者可以向目标SMBv3服务器发送特制数据包。”
“要利用此漏洞针对客户端,未经身份验证的攻击者将需要配置恶意的SMBv3服务器,并诱使用户连接到该服务器,”
更糟糕的是,SMBleed可以与未修补的Windows 10系统上的SMBGhost链接在一起,以实现远程代码执行。该公司还发布了概念验证漏洞利用代码,演示了这些缺陷。
为了缓解此漏洞,建议家庭和企业用户尽快安装最新的Windows更新。
对于不适用补丁的系统,建议阻塞端口445,以防止横向移动和远程利用。
微软的安全指导解决SMBleed和SMBGhost在Windows 10版本的1909年和1903年和服务器核心为同一版本都可以在这里找到和这里。
IBM 修复WebSphere中的远程执行代码关键漏洞
微软2020年6月份于补丁日针对129个安全漏洞发布补丁
风险管理公司发现了2019年在开源项目中流行的1000个漏洞
