今日 360 安全衛(wèi)士官方宣布，360 安全衛(wèi)士已可對今年 3 月 12 日曝光的 Windows 10 高危漏洞 SMBv3 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-0796)進(jìn)行無補(bǔ)丁攔截。

IT之家了解到，SMBv3 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-0796)主要威脅 Windows 10 和 Windows Server 的 1903 和 1909 兩大主流版本。該漏洞存在于 Windows 的 SMBv3.0(服務(wù)消息塊協(xié)議)中，屬于高危的零接觸遠(yuǎn)程代碼執(zhí)行漏洞。不法攻擊者可通過向目標(biāo) SMBv3 服務(wù)器發(fā)送惡意數(shù)據(jù)包的方式，遠(yuǎn)程執(zhí)行任意代碼，致使目標(biāo)設(shè)備陷入非授權(quán)控制。這一漏洞的危害與 “永恒之藍(lán)”(Eternal Blue)不相上下。

(SMB 調(diào)用 srv2!Srv2ReceiveHandler 函數(shù)接收 smb 數(shù)據(jù)包細(xì)節(jié))

繼 “遠(yuǎn)程利用”再加碼 “本地提權(quán)”

目前 360 方面已追蹤到了該漏洞首個(gè)完整本地提權(quán)利用細(xì)節(jié)。從具體細(xì)節(jié)上來看，基于網(wǎng)絡(luò)連接本地地址的 445 端口，打開本機(jī) SMB 共享端口，即可在此基礎(chǔ)上利用該漏洞構(gòu)造任意地址寫入的方法，經(jīng)多重操作，最終達(dá)成本地提權(quán)的目的。“本地提權(quán)”可使黑客實(shí)施網(wǎng)絡(luò)攻擊時(shí)獲得系統(tǒng)更高權(quán)限，從而取得對攻擊目標(biāo)的控制權(quán)。目前 360 已支持無補(bǔ)丁漏洞攔截。

(SMBv3 遠(yuǎn)程代碼執(zhí)行漏洞利用展示)