搜索
搜索

關于

/
/
永恒之藍后WindowsSMB協議再現幽靈漏洞,網御星云提醒您盡快修復
全部分類

永恒之藍后WindowsSMB協議再現幽靈漏洞,網御星云提醒您盡快修復

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-13 14:58
  • 訪問量:

【概要描述】

永恒之藍后WindowsSMB協議再現幽靈漏洞,網御星云提醒您盡快修復

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-13 14:58
  • 訪問量:
詳情
 
 
3月10日,微軟發布安全公告(ADV200005)稱在Microsoft Server Message Block 3.1.1(SMBv3)協議中存在一個遠程代碼執行漏洞(CVE-2020-0796,又稱“CoronaBlue”或“SMBGhost”)。
 
漏洞是由SMBv3協議處理惡意壓縮數據包時進入錯誤流程造成的,遠程未經身份驗證的攻擊者可以利用該漏洞造成目標主機系統崩潰、藍屏甚至執行任意代碼。SMB允許多個客戶端訪問共享文件夾,并且可以為橫向移動和客戶端到客戶端感染提供豐富的惡意軟件游樂場。這在2017年的SMB版本1中得到了體現,當時WannaCry勒索軟件使用了疑似隸屬于NSA的TAO組織開發的EternalBlue SMB漏洞在全球范圍內迅速自我傳播。盡管此次漏洞很危險,但研究人員表示,該漏洞可能不會導致“ WannaCry 2.0”。
 
但是,該漏洞的存在并不“友善”,同樣會給系統帶來安全風險。由于漏洞可以直接用于遠程攻擊,并且可以“蠕蟲化”,其危害程度類似于2017年的“永恒之藍”漏洞。但相較于“永恒之藍”,該漏洞影響的范圍相對較小,只限于Windows  10以及Windows Server 的1903和1909版本,具體影響的版本號如下:
 
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
 
微軟解決方案:
 
微軟已經發布了此漏洞的安全補丁,請訪問如下鏈接:
 
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
 
如果暫時無法更新補丁,可對受影響的操作系統使用以下緩解措施禁用SMBv3的壓縮功能來進行防護。
 
首先查看自己使用的Windows版本是否為受影響的版本,方法如下:使用win + R后輸入“WinVer”查看當前操作系統的版本號。
 
 
如果確認系統受影響,則建議使用以下PowerShell命令禁用壓縮功能,以阻止未經身份驗證的攻擊者利用SMBv3服務器的漏洞(無需重新啟動)。
 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
 
網御星云產品解決方案
 
面對此次安全事件,網御星云再度整合安全產品資源,針對漏洞防護問題提出系列解決方案,實力保障用戶網絡安全。
 
解決方案一:產品升級提示
 
1、已部署網御星云IDS、IPS、WAF、APT產品的用戶請確認如下事件規則已經下發并應用,即可有效檢測相關攻擊:TCP_CVE-2020-0796漏洞利用。
 
(1)網御入侵檢測與管理系統(IDS)報警截圖:
 
 
(2)網御入侵防御系統(IPS)報警截圖:
 
 
(3)網御Web應用安全網關(WAF)報警截圖:
 
 
(4)網御高級持續性威脅檢測與管理系統(APT)報警截圖:
 
 
2、網御漏洞掃描系統V6.0于2020年3月12日緊急發布針對該漏洞的升級包,支持對該漏洞進行檢測,用戶升級網御漏洞掃描系統漏洞庫后即可對該漏洞進行掃描。升級包為607000278,升級包下載地址:http://www.meigooo.com/companyfile/23/
 
請網御漏洞掃描系統V6.0產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。
 
 
解決方案二:添加相應規則持續監控
 
已部署網御星云TSOC系列產品的用戶單位,建議添加相應的規則持續對該行為進行監控。
 
關聯規則:L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796說明:“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”關聯規則是規則嵌套的規則,用于監測SMBv3漏洞【CVE-2020-0706】利用行為,同時也監測批量445端口訪問的行為。
 
若接入TSOC平臺的安全檢測設備策略無升級、更新,可以單獨使用“L2_ADS_批量445端口訪問”規則對445端口訪問情況進行監控。
 
注:“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則已包括“L2_ADS_批量445端口訪問”,直接導入“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則包,無需單獨配置“L2_ADS_批量445端口訪問”。
 
“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則條件:
事件=(日志類型!=“關聯事件”)&((設備類型屬于(安全設備/安全防護網關、安全設備/web應用網關、安全設備/入侵檢測、安全設備/安全防御、安全設備/防病毒系統、安全設備/惡意代碼檢測、安全設備/終端安全管理))&(目的端口=“445”)&(引用過濾器=“CVE20200796_安全設備”))|(引用規則=“L2_ADS_批量445端口訪問”)
 
 
“CVE20200796_安全設備”過濾器條件:
事件=(日志類型!=“關聯事件”)&((事件名稱 包含 “Corona” )&(事件名稱 包含 “Blue”)&(事件名稱 包含 “漏洞”))|((事件名稱 包含 “CVE-2020-0796” ))|((事件名稱 包含 “SMBv3” )&(((事件名稱 包含 “漏洞” )|(事件名稱 包含 “連接” ))))
 
 
“L2_ADS_批量445端口訪問”規則條件:
事件=(日志類型!=“關聯事件”)&(目的端口=“445”)
 
 
“L2_ADS_批量445端口訪問”次數設置:
 
 
解決方案三:通過NAC落實終端安全合規
 
目前,針對該漏洞,微軟已經發布漏洞補丁,受影響的操作系統在進行補丁更新時,可以通過網御網絡接入控制系統對入網終端進行安全基線核查,對未安裝補丁的終端提供引導修復界面,及時查找協助安裝相應補丁,防止漏網之魚。與此同時,對于無法及時更新補丁的用戶,可通過網御網絡接入控制系統對入網終端進行合規檢查,關閉遠程桌面服務,保護系統安全。
 
 
網御網絡接入控制系統能夠對入網終端進行自動化基線核查,保證入網終端符合入網要求,同時,還可針對類似漏洞提供協助安裝相應補丁并關閉遠程桌面的服務。此外,對于不符合入網要求的終端,網御網絡接入控制系統還能提供一鍵修功能,大大減輕管理人員的運維壓力,保障了入網終端安全性。
 
 
請相關用戶提高警惕性,盡快采取防范措施,及時根據上述方案做好相應檢測。網御星云還將持續關注此類安全事件,全力保障用戶網絡安全。
 
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网