SMBv3“蠕虫级”漏洞来袭 启明星辰提供解决方案!

发布时间 2020-03-12

3月10日,微软发布安全公告(ADV200005)称在Microsoft Server Message Block 3.1.1 (SMBv3)协议中存在一个远程代码执行漏洞(CVE-2020-0796,又称“CoronaBlue”或“SMB Ghost”)。该漏洞是由SMBv3协议处理恶意压缩数据包时进入错误流程造成的,远程未经身份验证的攻击者可以利用该漏洞造成目标主机系统崩溃、蓝屏甚至执行任意代码。



由于该漏洞可以直接用于远程攻击,并且可以“蠕虫化”,因此,其危害程度类似于2017年的“永恒之蓝”漏洞。但相较于“永恒之蓝”,该漏洞影响的范围相对较小,只限于Windows10以及Windows Server 的1903和1909版本,具体影响的版本号如下:


Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)


启明星辰解决方案



一、 禁用SMBv3压缩


虽然本漏洞影响的范围相对较小,但是由于危害级别较高,并且微软没有给出相应的漏洞补丁,所以建议对受影响的操作系统使用以下缓解措施禁用SMBv3的压缩功能来进行防护。


首先查看自己使用的Windows版本是否为受影响的版本,方法如下:



使用Win + R后输入“WinVer”查看当前操作系统的版本号。


如果确认系统受影响,则建议使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞(无需重新启动)。


Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force


二、 产品解决方案


1、已部署启明星辰IDS、IPS、WAF、APT产品的客户请确认如下事件规则已经下发并应用,即可有效检测相关攻击: TCP_CVE-2020-0796漏洞利用。


(1)天阗入侵检测与管理系统报警截图:



(2)天清入侵防御系统报警截图:



(3)天清Web应用安全网关报警截图:



(4)天阗高级持续性威胁检测与管理系统报警截图:



2、启明星辰天镜脆弱性扫描与管理系统V6.0于2020年3月12日紧急发布针对该漏洞的升级包,支持对该漏洞进行检测,用户升级天镜漏扫产品漏洞库后即可对该漏洞进行扫描。6070版本升级包为607000278,升级包下载地址:

https://www.venustech.com.cn/article/type/1/146.html


请天镜脆弱性扫描与管理系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。



3、已部署泰合TSOC系列产品的企事业单位,建议添加相应的规则持续对该行为进行监控。


关联规则:L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796

说明:


“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”关联规则是规则嵌套的规则,用于监测SMBv3漏洞【CVE-2020-0706】利用行为,同时也监测批量445端口访问的行为。


若接入TSOC平台的安全检测设备策略无升级、更新,可以单独使用“L2_ADS_批量445端口访问”规则对445端口访问情况进行监控。


注:“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则已包括“L2_ADS_批量445端口访问”,直接导入“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则包,无需单独配置“L2_ADS_批量445端口访问”。


“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则条件:


事件=(日志类型!=“关联事件”)&((设备类型属于(安全设备/安全防护网关、安全设备/web应用网关、安全设备/入侵检测、安全设备/安全防御、安全设备/防病毒系统、安全设备/恶意代码检测、安全设备/终端安全管理))&(目的端口=“445”)&(引用过滤器=“CVE20200796_安全设备”))|(引用规则=“L2_ADS_批量445端口访问”)



“CVE20200796_安全设备”过滤器条件:


事件=(日志类型!=“关联事件”)&((事件名称 包含 “Corona” )&(事件名称 包含 “Blue”)&(事件名称 包含 “漏洞”))|((事件名称 包含 “CVE-2020-0796” ))|((事件名称 包含 “SMBv3” )&(((事件名称 包含 “漏洞” )|(事件名称 包含 “连接” ))))



“L2_ADS_批量445端口访问”规则条件:


事件=(日志类型!=“关联事件”)&(目的端口=“445”)



“L2_ADS_批量445端口访问”次数设置: