SMBv3“蠕蟲級”漏洞來襲 啟明星辰提供解決方案!

發布時間 2020-03-12

3月10日,微軟發布安全公告(ADV200005)稱在Microsoft Server Message Block 3.1.1 (SMBv3)協議中存在一個遠程代碼執行漏洞(CVE-2020-0796,又稱“CoronaBlue”或“SMB Ghost”)。該漏洞是由SMBv3協議處理惡意壓縮數據包時進入錯誤流程造成的,遠程未經身份驗證的攻擊者可以利用該漏洞造成目標主機系統崩潰、藍屏甚至執行任意代碼。



由于該漏洞可以直接用于遠程攻擊,并且可以“蠕蟲化”,因此,其危害程度類似于2017年的“永恒之藍”漏洞。但相較于“永恒之藍”,該漏洞影響的范圍相對較小,只限于Windows10以及Windows Server 的1903和1909版本,具體影響的版本號如下:


Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)


啟明星辰解決方案



一、 禁用SMBv3壓縮


雖然本漏洞影響的范圍相對較小,但是由于危害級別較高,并且微軟沒有給出相應的漏洞補丁,所以建議對受影響的操作系統使用以下緩解措施禁用SMBv3的壓縮功能來進行防護。


首先查看自己使用的Windows版本是否為受影響的版本,方法如下:



使用Win + R后輸入“WinVer”查看當前操作系統的版本號。


如果確認系統受影響,則建議使用以下PowerShell命令禁用壓縮功能,以阻止未經身份驗證的攻擊者利用SMBv3服務器的漏洞(無需重新啟動)。


Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force


二、 產品解決方案


1、已部署啟明星辰IDS、IPS、WAF、APT產品的客戶請確認如下事件規則已經下發并應用,即可有效檢測相關攻擊: TCP_CVE-2020-0796漏洞利用。


(1)天闐入侵檢測與管理系統報警截圖:



(2)天清入侵防御系統報警截圖:



(3)天清Web應用安全網關報警截圖:



(4)天闐高級持續性威脅檢測與管理系統報警截圖:



2、啟明星辰天鏡脆弱性掃描與管理系統V6.0于2020年3月12日緊急發布針對該漏洞的升級包,支持對該漏洞進行檢測,用戶升級天鏡漏掃產品漏洞庫后即可對該漏洞進行掃描。6070版本升級包為607000278,升級包下載地址:

https://www.venustech.com.cn/article/type/1/146.html


請天鏡脆弱性掃描與管理系統V6.0產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。



3、已部署泰合TSOC系列產品的企事業單位,建議添加相應的規則持續對該行為進行監控。


關聯規則:L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796

說明:


“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”關聯規則是規則嵌套的規則,用于監測SMBv3漏洞【CVE-2020-0706】利用行為,同時也監測批量445端口訪問的行為。


若接入TSOC平臺的安全檢測設備策略無升級、更新,可以單獨使用“L2_ADS_批量445端口訪問”規則對445端口訪問情況進行監控。


注:“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則已包括“L2_ADS_批量445端口訪問”,直接導入“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則包,無需單獨配置“L2_ADS_批量445端口訪問”。


“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則條件:


事件=(日志類型!=“關聯事件”)&((設備類型屬于(安全設備/安全防護網關、安全設備/web應用網關、安全設備/入侵檢測、安全設備/安全防御、安全設備/防病毒系統、安全設備/惡意代碼檢測、安全設備/終端安全管理))&(目的端口=“445”)&(引用過濾器=“CVE20200796_安全設備”))|(引用規則=“L2_ADS_批量445端口訪問”)



“CVE20200796_安全設備”過濾器條件:


事件=(日志類型!=“關聯事件”)&((事件名稱 包含 “Corona” )&(事件名稱 包含 “Blue”)&(事件名稱 包含 “漏洞”))|((事件名稱 包含 “CVE-2020-0796” ))|((事件名稱 包含 “SMBv3” )&(((事件名稱 包含 “漏洞” )|(事件名稱 包含 “連接” ))))



“L2_ADS_批量445端口訪問”規則條件:


事件=(日志類型!=“關聯事件”)&(目的端口=“445”)



“L2_ADS_批量445端口訪問”次數設置: