SMB v1远程代码执行漏洞 (CVE-2020-1301)

发布时间:2020-06-10 00:00:00

基本信息
风险等级: 高危
漏洞类型: 远程命令执行
漏洞利用: 暂无 , 提交POC
漏洞编号:
CVE-2020-1301
漏洞描述

近日,我司应急团队监测到微软发布补丁修复了一个标注为远程代码执行的SMB v1漏洞:CVE-2020-1301,漏洞影响Win7-Win10的所有版本。经分析,该漏洞发生在srv驱动模块解析SMB相关协议MS-FSCC中的FSCTL_SIS_COPYFILE请求时,没有完全验证请求中的SI_COPYFILE结构,后续引用造成了整形溢出。与之前的SMBGhost(SMBv3漏洞)相比,该漏洞出现在老版本的SMB v1中,触发需要先通过身份认证,危害等级低于CVE-2020-0796。同时建议关闭SMB v1,由于SMB v1存在很多安全问题,如之前的永恒之蓝就是利用SMB v1漏洞。从2007年开始,SMB v2 和更高版本的协议取代了SMB v1。Microsoft 在2014年公开弃用了 SMB v1 协议。Windows 10已默认关闭SMB v1,禁用SMB v1不会对系统造成影响。

建议受影响的系统关闭SMB v1,由于SMB v1存在很多安全问题,如之前的永恒之蓝就是利用SMB v1漏洞。从2007年开始,SMB v2 和更高版本的协议取代了SMB v1。Microsoft 在2014年公开弃用了 SMB v1 协议。Windows 10已默认关闭SMB v1,禁用SMB v1不会对系统造成影响。

影响范围

Win7 to Win10

解决方案
修复建议

强烈建议进行补丁安装安全升级。受影响用户可到官网下载补丁:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1301 可参照对应补丁列表进行下载安装。

临时修复建议

该漏洞触发需要先建立SMB会话,即通过身份验证,为避免受到漏洞影响,设置密码时使用强密码。目前官方已发布补丁修复了该漏洞,对于暂时无法安装补丁的用户,可采取禁用 SMBv1的措施减小风险。

对于运行 Windows Vista 及更高版本的客户,可参照官方指导进行禁用smb:https://docs.microsoft.com/zh-cn/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3

对于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法对于客户端操作系统:

  1. 打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
  2. 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
  3. 重启系统。

对于服务器操作系统:

  1. 打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
  2. 在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
  3. 重启系统。
漏洞排查

使用观星台快速定位资产,进行风险排查。

目前此漏洞没有可用的脚本检测方法,如果您有相关脚本,欢迎登录POC平台提交,获取丰富奖励!

情报来源
腾讯安全威胁情报中心
观星专注于网络安全资产管理。
为您提供资产发现、威胁情报、应急响应、暗网溯源服务。
400-0365-911
www.shuziguanxing.com