Güncelleme 03/12/2020:

Microsoft bant dışı yamayı yayınladı: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

Özet

SMBv3.11, sıkıştırma etkinleştirildiğinde arabellek taşması güvenlik açığına sahiptir (varsayılan değer). Windows 10 ve Server, SMBv3.11 kullanır ve hizmet, SYSTEM olarak çalışır. Kötüye kullanımın başarılı olması, SYSTEM ayrıcalıkları ile uzaktan kod çalıştırılmasına neden olacaktır. Bu, “kurtlanabilir” olarak kabul edilir. Microsoft, Mart 2020 Yaması Salı günü bir yama yayınlamadı.

Anlatı

Microsoft, Mart 2020 Yaması Salı gününden itibaren CVE-2020–0796 yamayı son dakikada çekti ve bazı bilgiler Cisco Talos tarafından sızdırıldı, ancak daha sonra gönderilerinden silindi. Aldığım bir ekran görüntüsü şu şekildedir:

CVE-2020–0796_image_1.jpeg

Microsoft Danışma Belgesi

Microsoft daha sonra daha fazla bilgi içeren bir danışma belgesi yayımladı: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

“Microsoft, Microsoft Sunucu İleti Bloğu 3.1.1 (SMBv3) protokolünün belirli istekleri işleme biçiminde bir uzaktan kod yürütme güvenlik açığının farkındadır. Güvenlik açığından başarıyla yararlanan bir saldırgan, hedef SMB Sunucusu veya SMB İstemcisi üzerinde kod yürütme becerisi elde edebilir. Bir SMB Sunucusuna karşı güvenlik açığından yararlanmak için, kimliği doğrulanmamış bir saldırgan, hedeflenen bir SMBv3 Sunucusuna özel hazırlanmış bir paket gönderebilir. Bir SMB İstemcisine yönelik güvenlik açığından yararlanmak için, kimliği doğrulanmamış bir saldırganın kötü amaçlı bir SMBv3 Sunucusu yapılandırması ve bir kullanıcıyı buna bağlanmaya ikna etmesi gerekir. “

CERT takip etti: https://www.kb.cert.org/vuls/id/872016/

Etki

Bu sorun hem SMB istemcisini hem de SMBv3 Sıkıştırmasının etkin olduğu sunucuyu etkiler. Ağ üzerinden uzaktan kod çalıştırma mümkündür (445 numaralı TCP bağlantı noktası engellenmediği sürece). CVSSv3 / 10. SMB, SYSTEM ayrıcalıklarıyla çalışır.

Etkilenen Nüfus

Etkilenen sistemler SMB v3.11 çalıştırmalıdır. Sıkıştırma varsayılan olarak etkindir.
32-bit Sistemler için
Windows 10 Sürüm 1903 ARM64 tabanlı Sistemler için
Windows 10 Sürüm 1903 x64 tabanlı Sistemler için Windows 10 Sürüm 1903
32-bit Sistemler için
Windows 10 Sürüm 1909 ARM64 tabanlı Sistemler için
Windows 10 Sürüm 1909 Windows 10 Sürüm 1909 için x64 tabanlı Sistemler
Windows Server, sürüm 1903 (Sunucu Çekirdeği yüklemesi)
Windows Server, sürüm 1909 (Sunucu Çekirdeği yüklemesi)

Savunmasız Ana Bilgisayarları Belirleyin

Herhangi bir yama yoksa SMB v3.11’in çalışıp çalışmadığını ve dolayısıyla savunmasız olup olmadığını belirleme yöntemi nmap aracılığıyla mümkündür:

#! / bin / bash
eğer [$ # -eq 0]
  sonra
    echo $ 'Kullanım: \ n \ tcheck-smb-v3.11.sh TARGET_IP_or_CIDR'
    çıkış 1
fi

echo "" $ 1 "içinde SMB v3.11 olup olmadığı kontrol ediliyor ..."

nmap -p445 - komut dosyası smb-protokolleri -Pn -n $ 1 | grep -P '\ d + \. \ d + \. \ d + \. \ d + | ^ \ |. \ s + 3.11' | tr '\ n' '' | '@' için 'Nmap tarama raporunu değiştirin | tr "@" "\ n" | grep 3.11 | tr '|' '' | tr '_' '' | grep -oP '\ d + \. \ d + \. \ d + \. \ d +'

eğer [[$? ! = 0]]; sonra
    echo "SMB v3.11 yok"
fi

Diğer tarayıcılar:

cve-2020-0796

#! / bin / bash
eğer [$ # -eq 0]
  sonra
    echo $ 'Kullanım: \ n \ tcheck-smb-v3.11.sh TARGET_IP_or_CIDR'
    çıkış 1
fi

echo "" $ 1 "içinde SMB v3.11 olup olmadığı kontrol ediliyor ..."

nmap -p445 - komut dosyası smb-protokolleri -Pn -n $ 1 | grep -P '\ d + \. \ d + \. \ d + \. \ d + | ^ \ |. \ s + 3.11' | tr '\ n' '' | '@' için 'Nmap tarama raporunu değiştirin | tr "@" "\ n" | grep 3.11 | tr '|' '' | tr '_' '' | grep -oP '\ d + \. \ d + \. \ d + \. \ d +'

eğer [[$? ! = 0]]; sonra
    echo "SMB v3.11 yok"
fi

Geçici çözüm

Belirtilen SMBv3 sıkıştırma defteri aracılığıyla sunucu hizmeti için etkinleştirilebilir ADV200005 :

Sıkıştırmayı devre dışı bırakın:

Set-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” DisableCompression -Type DWORD -Value 1 -Force

Sıkıştırmayı etkinleştir:

Set-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” DisableCompression -Type DWORD -Value 0 -Force