SMB(Server Message Block)远程代码执行漏洞(CVE-2020-0796),也被称为“SMBGhost”,是一种高危漏洞,以下是关于该漏洞的详细准确回答:
漏洞描述
漏洞名称:SMBv3服务远程代码执行漏洞(CVE-2020-0796)
别名:SMBGhost
类型:远程代码执行
等级:高危
漏洞详情
1、基本描述:微软SMBv3协议在处理压缩消息时,对其中的数据没有经过安全检查,直接使用可能引发内存破坏漏洞,从而被攻击者利用远程执行任意代码。
2、影响范围:此漏洞主要影响Windows 10的系统及应用版本(1903和1909),包括32位、64位的家用版、专业版、企业版、教育版。
3、利用方式:攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。
4、后果:该漏洞的后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Office文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。
漏洞原因分析
原理:漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时并没有检查长度是否合法,最终导致整数溢出。
具体表现:当SMBv3.0处理恶意制作的压缩数据包时,由于SMB没有正确处理压缩的数据包,在解压数据包的时候调用函数Srv2DecompressData处理压缩数据时,对压缩数据头部压缩数据大小OriginalCompressedSegmentSize和其偏移Offset的没有检查其是否合法,导致其相加可分配较小的内存,后面调用SmbCompressionDecompress进行数据处理时使用这片较小的内存可导致拷贝溢出或越界访问。
防御措施
1、更新补丁:微软已发布相应的安全补丁,强烈建议用户立即安装补丁以免受此漏洞导致的风险。
2、禁用SMBv3压缩:如果暂时无法更新补丁,可以通过修改注册表来禁用SMBv3的压缩功能,以降低被攻击的风险。
3、网络隔离与监控:对于无法立即打补丁的系统,应加强网络隔离和监控,及时发现并阻断潜在的攻击行为。
4、定期备份与恢复:定期备份重要数据,以便在遭受攻击后能够迅速恢复业务。
信息仅供参考,在实际应对过程中,请务必遵循专业的网络安全建议和指导。
以上内容就是解答有关smb 漏洞的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/85648.html
