聚焦源代碼安全，網(wǎng)羅國內(nèi)外最新資訊！編譯：奇安信代碼衛(wèi)士團(tuán)隊(duì)

美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局?(CISA)?向?Windows?用戶發(fā)出警告信息稱，最近發(fā)布的?SMBGhost?漏洞?PoC?已被濫用于發(fā)動攻擊活動。

SMBGhost 漏洞也被稱為 CoronaBlue，編號為 CVE-2020-0796，和 Server Message Block 3.0(SMBv3) 相關(guān)，具體而言和 SMB 3.1.1 處理某些請求的方式有關(guān)。該缺陷影響 Windows 10 和 Windows Server，可被用于執(zhí)行拒絕服務(wù)攻擊、本地提權(quán)和任意代碼執(zhí)行攻擊。

在針對 SMB 服務(wù)器的攻擊活動中，攻擊者需要向目標(biāo)系統(tǒng)發(fā)動惡意數(shù)據(jù)包。在客戶端情況下，黑客必須說服受害者連接到惡意 SMB 服務(wù)器。

微軟披露該漏洞時(shí)指出，CVE-2020-0796 是蠕蟲式漏洞，因此非常危險(xiǎn)。該公司在3月份發(fā)布補(bǔ)丁和應(yīng)變措施。該漏洞披露后，研究人員開始發(fā)布 PoC exploit，不過僅能實(shí)現(xiàn) DoS 或提權(quán)后果。多家公司和研究人員生成已經(jīng)開發(fā)出可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的 exploit，但并未公開。

然而，上周，一名網(wǎng)絡(luò)昵稱為 Chompie 的研究人員發(fā)布了可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行后果的 SMBGhost exploit。該研究員出于“教育目的”發(fā)布，表示網(wǎng)絡(luò)安全公司 ZecOps 將在未來幾天發(fā)布 PoC，而補(bǔ)丁已經(jīng)存在數(shù)個(gè)月。

Compie 表示該 PoC 并不可靠，常導(dǎo)致系統(tǒng)崩潰，但多名專家已證實(shí)稱該遠(yuǎn)程代碼執(zhí)行 exploit 可運(yùn)作。

上周五，CISA 建議用戶和管理員安裝補(bǔ)丁并通過防火墻攔截 SMB 端口，并警告稱該漏洞已遭在野利用。

CISA 表示，“盡管微軟早在2020年3月就披露并提供漏洞更新，但惡意網(wǎng)絡(luò)行動者通過最近發(fā)布的開原報(bào)告，利用新的 PoC 攻擊未修復(fù)系統(tǒng)。”

研究人員此前曾警告稱多款惡意軟件已開始利用 SMBGhost 提權(quán)并在本地傳播，但目前看似該漏洞也被用于執(zhí)行遠(yuǎn)程代碼。目前尚不知曉攻擊具體是如何執(zhí)行的。

MalwareMustDie 惡意軟件研究團(tuán)隊(duì)報(bào)告稱，最近發(fā)生的攻擊活動還利用一款開源工具幫助用戶識別服務(wù)器是否遭 SMBGhost 影響。

推薦閱讀

微軟3月補(bǔ)丁星期二最值得注意的是CVE-2020-0684和神秘0day CVE-2020-0796

原文鏈接

https://www.securityweek.com/smbghost-attacks-spotted-following-release-code-execution-poc

題圖：Pixabay License

本文由奇安信代碼衛(wèi)士編譯，不代表奇安信觀點(diǎn)。轉(zhuǎn)載請注明“轉(zhuǎn)自奇安信代碼衛(wèi)士 www.codesafe.cn”。

奇安信代碼衛(wèi)士 (codesafe)

國內(nèi)首個(gè)專注于軟件開發(fā)安全的

產(chǎn)品線。

? ??點(diǎn)個(gè)?“在看” ，加油鴨~

總結(jié)

以上是生活随笔為你收集整理的cve-2020-0796_SMBGhost 漏洞 CVE20200796 的PoC 已发布，攻击现身的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。