Windows SMBv3远程攻击0day漏洞安全预警

2017-02-09 15:31:37 网司令

蓝屏.jpg

尊敬的网司令用户:

国外技术网站Github曝光了Windows SMBv3存在远程攻击0day漏洞,根据已公开的漏洞验证代码(POC),攻击者可以模拟成一个SMB服务器,诱使客户端发起SMB请求来触发漏洞,迫使受影响系统蓝屏崩溃。

影响范围

Windows Server 2012/2016、Win8/8.1以及Win10系统

修复方案

1.windows官网发布补丁后安装补丁包,目前暂未发布补丁;

2.通过禁用SMB服务来缓解攻击:

Windows Server 2012可采用以下方法:

1)查看SMB服务器协议配置的当前状态:

SmbServerConfiguration | select EnableSMB1Protocol,EnableSMB2Protocol,EnableSMB3Protocol

2)禁用SMB服务:

禁用SMBv1:

SmbServerConfiguration -EnableSMB1Protocol $false

禁用SMBv2和SMBv3:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

3.在防火墙处阻止TCP 端口 139 和 445,通过阻止入站和出站 SMB 流量,防范此漏洞攻击造成的安全风险。

漏洞详情

windows SMBv3存在远程攻击0day漏洞,此漏洞存在于SMB客户端(mrxsmb20.sys),已公开的POC可以导致系统死亡蓝屏。攻击者可以通过139、445等远程端口,或中间人攻击,甚至以包含UNC路径的邮件、文档或网页诱骗用户点击触发漏洞。

PoC:https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect

参考链接

https://www.kb.cert.org/vuls/id/867968

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012