SMBv3“蠕蟲級”漏洞來襲 啟明星辰提供解決方案!
發布時間 2020-03-123月10日,微軟發布安全公告(ADV200005)稱在Microsoft Server Message Block 3.1.1 (SMBv3)協議中存在一個遠程代碼執行漏洞(CVE-2020-0796,又稱“CoronaBlue”或“SMB Ghost”)。該漏洞是由SMBv3協議處理惡意壓縮數據包時進入錯誤流程造成的,遠程未經身份驗證的攻擊者可以利用該漏洞造成目標主機系統崩潰、藍屏甚至執行任意代碼。
由于該漏洞可以直接用于遠程攻擊,并且可以“蠕蟲化”,因此,其危害程度類似于2017年的“永恒之藍”漏洞。但相較于“永恒之藍”,該漏洞影響的范圍相對較小,只限于Windows10以及Windows Server 的1903和1909版本,具體影響的版本號如下:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
啟明星辰解決方案
一、 禁用SMBv3壓縮
雖然本漏洞影響的范圍相對較小,但是由于危害級別較高,并且微軟沒有給出相應的漏洞補丁,所以建議對受影響的操作系統使用以下緩解措施禁用SMBv3的壓縮功能來進行防護。
首先查看自己使用的Windows版本是否為受影響的版本,方法如下:
使用Win + R后輸入“WinVer”查看當前操作系統的版本號。
如果確認系統受影響,則建議使用以下PowerShell命令禁用壓縮功能,以阻止未經身份驗證的攻擊者利用SMBv3服務器的漏洞(無需重新啟動)。
Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
二、 產品解決方案
1、已部署啟明星辰IDS、IPS、WAF、APT產品的客戶請確認如下事件規則已經下發并應用,即可有效檢測相關攻擊: TCP_CVE-2020-0796漏洞利用。
(1)天闐入侵檢測與管理系統報警截圖:
(2)天清入侵防御系統報警截圖:
(3)天清Web應用安全網關報警截圖:
(4)天闐高級持續性威脅檢測與管理系統報警截圖:
2、啟明星辰天鏡脆弱性掃描與管理系統V6.0于2020年3月12日緊急發布針對該漏洞的升級包,支持對該漏洞進行檢測,用戶升級天鏡漏掃產品漏洞庫后即可對該漏洞進行掃描。6070版本升級包為607000278,升級包下載地址:
https://www.venustech.com.cn/article/type/1/146.html
請天鏡脆弱性掃描與管理系統V6.0產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。
3、已部署泰合TSOC系列產品的企事業單位,建議添加相應的規則持續對該行為進行監控。
關聯規則:L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796
說明:
“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”關聯規則是規則嵌套的規則,用于監測SMBv3漏洞【CVE-2020-0706】利用行為,同時也監測批量445端口訪問的行為。
若接入TSOC平臺的安全檢測設備策略無升級、更新,可以單獨使用“L2_ADS_批量445端口訪問”規則對445端口訪問情況進行監控。
注:“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則已包括“L2_ADS_批量445端口訪問”,直接導入“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則包,無需單獨配置“L2_ADS_批量445端口訪問”。
“L3_MC_SMBv3蠕蟲遠程執行漏洞利用-CVE-2020-0796”規則條件:
事件=(日志類型!=“關聯事件”)&((設備類型屬于(安全設備/安全防護網關、安全設備/web應用網關、安全設備/入侵檢測、安全設備/安全防御、安全設備/防病毒系統、安全設備/惡意代碼檢測、安全設備/終端安全管理))&(目的端口=“445”)&(引用過濾器=“CVE20200796_安全設備”))|(引用規則=“L2_ADS_批量445端口訪問”)
“CVE20200796_安全設備”過濾器條件:
事件=(日志類型!=“關聯事件”)&((事件名稱 包含 “Corona” )&(事件名稱 包含 “Blue”)&(事件名稱 包含 “漏洞”))|((事件名稱 包含 “CVE-2020-0796” ))|((事件名稱 包含 “SMBv3” )&(((事件名稱 包含 “漏洞” )|(事件名稱 包含 “連接” ))))
“L2_ADS_批量445端口訪問”規則條件:
事件=(日志類型!=“關聯事件”)&(目的端口=“445”)
“L2_ADS_批量445端口訪問”次數設置: