SMBv3“蠕虫级”误差来袭 耀世娱乐提供解决计划!

宣布时间 2020-03-12

3月10日,微软宣布清静通告(ADV200005)称在Microsoft Server Message Block 3.1.1 (SMBv3)协议中保存一个远程代码执行误差(CVE-2020-0796,又称“CoronaBlue”或“SMB Ghost”) 。该误差是由SMBv3协议处置惩罚恶意压缩数据包时进入过失流程造成的,远程未经身份验证的攻击者可以使用该误差造成目的主机系统瓦解、蓝屏甚至执行恣意代码 。


耀世娱乐-科技赋能场景,让娱乐更有趣。


由于该误差可以直接用于远程攻击,并且可以“蠕虫化”,因此,其危害水平类似于2017年的“永恒之蓝”误差 。但相较于“永恒之蓝”,该误差影响的规模相对较小,只限于Windows10以及Windows Server 的1903和1909版本,详细影响的版本号如下:


Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)


耀世娱乐解决计划



一、 禁用SMBv3压缩


虽然本误差影响的规模相对较小,可是由于危害级别较高,并且微软没有给出响应的误差补丁,以是建议对受影响的操作系统使用以下缓解步伐禁用SMBv3的压缩功效来举行防护 。


首先审查自己使用的Windows版本是否为受影响的版本,要领如下:


耀世娱乐-科技赋能场景,让娱乐更有趣。


使用Win + R后输入“WinVer”审查目今操作系统的版本号 。


若是确认系统受影响,则建议使用以下PowerShell下令禁用压缩功效,以阻止未经身份验证的攻击者使用SMBv3服务器的误差(无需重新启动) 。


Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force


二、 产品解决计划


1、已安排耀世娱乐IDS、IPS、WAF、APT产品的客户请确认如下事务规则已经下发并应用,即可有用检测相关攻击: TCP_CVE-2020-0796误差使用 。


(1)天阗入侵检测与管理系统报警截图:


耀世娱乐-科技赋能场景,让娱乐更有趣。


(2)天清入侵防御系统报警截图:


耀世娱乐-科技赋能场景,让娱乐更有趣。


(3)天清Web应用清静网关报警截图:


耀世娱乐-科技赋能场景,让娱乐更有趣。


(4)天阗高级一连性威胁检测与管理系统报警截图:


耀世娱乐-科技赋能场景,让娱乐更有趣。


2、耀世娱乐天镜懦弱性扫描与管理系统V6.0于2020年3月12日紧迫宣布针对该误差的升级包,支持对该误差举行检测,用户升级天镜漏扫产品误差库后即可对该误差举行扫描 。6070版本升级包为607000278,升级包下载地址:

/article/type/1/146.html


请天镜懦弱性扫描与管理系统V6.0产品的用户尽快升级到最新版本,实时对该误差举行检测,以便尽快接纳提防步伐 。


耀世娱乐-科技赋能场景,让娱乐更有趣。


3、已安排泰合TSOC系列产品的企事业单位,建议添加响应的规则一连对该行为举行监控 。


关联规则:L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796

说明:


“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”关联规则是规则嵌套的规则,用于监测SMBv3误差【CVE-2020-0706】使用行为,同时也监测批量445端口会见的行为 。


若接入TSOC平台的清静检测装备战略无升级、更新,可以单独使用“L2_ADS_批量445端口会见”规则对445端口会见情形举行监控 。


注:“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则已包括“L2_ADS_批量445端口会见”,直接导入“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则包,无需单独设置“L2_ADS_批量445端口会见” 。


“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则条件:


事务=(日志类型!=“关联事务”)&((装备类型属于(清静装备/清静防护网关、清静装备/web应用网关、清静装备/入侵检测、清静装备/清静防御、清静装备/防病毒系统、清静装备/恶意代码检测、清静装备/终端清静管理))&(目的端口=“445”)&(引用过滤器=“CVE20200796_清静装备”))|(引用规则=“L2_ADS_批量445端口会见”)


耀世娱乐-科技赋能场景,让娱乐更有趣。


“CVE20200796_清静装备”过滤器条件:


事务=(日志类型!=“关联事务”)&((事务名称 包括 “Corona” )&(事务名称 包括 “Blue”)&(事务名称 包括 “误差”))|((事务名称 包括 “CVE-2020-0796” ))|((事务名称 包括 “SMBv3” )&(((事务名称 包括 “误差” )|(事务名称 包括 “毗连” ))))


耀世娱乐-科技赋能场景,让娱乐更有趣。


“L2_ADS_批量445端口会见”规则条件:


事务=(日志类型!=“关联事务”)&(目的端口=“445”)


耀世娱乐-科技赋能场景,让娱乐更有趣。


“L2_ADS_批量445端口会见”次数设置:


耀世娱乐-科技赋能场景,让娱乐更有趣。