终结“永恒之蓝”后,再战“永恒之黑”
引子:
2003年的“抗击非典”,17年后的2020年“抗击新冠”。
2017年的“永恒之蓝”,3年后的2020年“永恒之黑”。
历史:
2017年5月13日,在“胖哥技术堂”中发布了《截杀“WannaCrypt”,终结“永恒之蓝”》。三年后的今天再次为“永恒之黑”发文。
https://blog.51cto.com/liulike/1925357
预警:
微软在2020年3月12日发布了最新的SMBv3(3.1.1)远程代码执行漏洞(CVE-2020-0796),利用该漏洞无须权限即可实现远程代码执行,一旦被成功利用,其危害不亚于永恒之蓝。同时,CVE-2020-0796漏洞与“永恒之蓝”系列漏洞极为相似,都是利用Windows SMB漏洞远程攻击获取系统最高权限。
CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
受该漏洞影响的系统为Windows 10 Version 1903及之后的所有Windows 10操作系统,以及Windows Server Version 1903及之后的所有Windows Server操作系统。具体为:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
非常幸运的是Windows 10 Version 1903和Windows Server Version 1903之前的Windows系统幸免,微软公布其未受影响,因为该漏洞只存在于使用SMB v3.1.1的系统,早期的系统中的不是该版本的SMB。因此让刚刚被移出微软支持列表的Windows 7“逃过一劫”。
绝杀:
为解决该漏洞,微软在2020年3月12日发布了KB4551762系列补丁,其包含了修复该漏洞的方案。用户只需要通过Windows Update进行自动或手动更新即可。
March 12, 2020—KB4551762 (OS Builds 18362.720 and 18363.720)
https://support.microsoft.com/zh-cn/help/4551762/windows-10-update-kb4551762
如果需要判断当前系统存在受影响的列表中,可以通过以下步骤判断是否已经进行的KB4551762补丁的更新。
以Windows 10 Version 1909操作系统为例,按Windows键+R键,打开“运行”对话框,输入“cmd”,点击“确定”,打开命令提示行窗口。
运行命令systeminfo,在“修补程序”字段中查看是否存在“KB4551762”的补丁,如果存在则表明已经修补了该漏洞,如果不存在,则应该及时修补该补丁。
如果不能联网在线执行Windows Update的计算机,或者无法连接Microsoft Update更新服务器的计算机。可以通过联网的计算机直接从Microsoft Update Catalog下载离线补丁更新包,然后在上述计算机上运行补丁更新。
Microsoft Update Catalog
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
假如为了某些应用的兼容性考虑,无法运行KB4551762修复程序的受影响Windows系统计算机,可以通过修改注册表项禁用SMBv3的压缩功能来暂时回避该风险。其操作方法如下:
点击“开始”按钮,在“应用程序”菜单中找到“Windows PowerShell”文件夹并展开。然后,右击“Windows PowerShell”应用程序,在上下文菜单中点击“以管理员身份运行”。
如果有“用户账户控制”对话框弹出,则点击“是”允许后续操作。
在打开的PowerShell命令行窗口中运行:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
并且通过:
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
确认操作设置是否成功。
但需要注意,这个并非为永久解决的办法,强烈建议通过KB4551762彻底修补该漏洞。再者,该禁用SMBv3压缩功能的方法,将对SMB的效率和性能带来极大影响。如果需要重新启用通过上述修改注册表操作禁用的SMBv3压缩功能,可以通过以下方法来实现。
在打开的PowerShell命令行窗口中运行:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
并且通过:
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
确认操作设置是否成功。
此外,如果为企业网络,强烈建议使用防火墙阻断TCP445端口的纵向通讯,并且针对不需要使用TCP445或SMB的设备或网络也阻止相关通过,以免遭到通过SMB的横向流量的攻击和入侵。
终结“永恒之蓝”后,再战“永恒之黑”相关推荐
- 比“永恒之蓝”更厉害的“永恒之石”来了 网络战争一触即发
5月24日,瑞星对外公布重大病毒预警信息:"永恒之蓝"勒索病毒事件还未平息,一个名为"永恒之石"的新病毒马上接踵而至.瑞星安全研究人员介绍,相比之前的勒索病毒, ...
- 勒索病毒WannaCry(永恒之蓝)
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://solin.blog.51cto.com/11319413/1925890 勒索病 ...
- 永恒之蓝(Eternal Blue)复现
永恒之蓝介绍 什么是永恒之蓝 永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机.甚至于201 ...
- 【常用工具】MSF使用教程(一)漏洞扫描与利用(以永恒之蓝漏洞复现为例)
目录 1 MSF框架 1.1 MSF简介 1.2 MSF五大模块类型 1.3 渗透攻击步骤 1.4 小结 2 实验简介 2.1 永恒之蓝简介 2.2 实验环境 2.3 实验目的 3 实验前准备 3.1 ...
- 一分钟了解勒索病毒WannaCry(永恒之蓝)
勒索病毒WannaCry(永恒之蓝) 日前,"永恒之蓝"席卷全球,已经有90个国家遭到攻击.国内教育网是遭到攻击的重灾区.不过,在安装相对老旧版本Windows的电脑普遍遭到攻击之 ...
- 永恒之蓝病毒事件所引发的运维安全行业新思考
一.NSA "永恒之蓝" 勒索蠕虫全球爆发 2017年5月12日爆发的 WannaCry勒索病毒肆虐了全球网络系统,引起各国企业和机构极大恐慌.而这次受害最严重的是Windows系 ...
- 漏洞复现-永恒之蓝(MS17-010)
目录 一,漏洞介绍 1,永恒之蓝是什么? 2,漏洞原理 3,影响版本 二,实验环境 三,漏洞复现 四,利用exploit模块进行渗透 一,漏洞介绍 1,永恒之蓝是什么? 永恒之蓝是指2017年4月14 ...
- 网络攻防——永恒之蓝
永恒之蓝 1.引言 2.永恒之蓝定义 3.SMB协议 3.windows7版本说明 4.攻击实例 4.1攻击者和被攻击者展示 4.2详细攻击过程 4.3接下来尝试攻击一下windows10 5.参考文 ...
- python调用msfconsole全自动永恒之蓝攻击_使用Metasploit复现永恒之蓝攻击
1.Metaspolit介绍 Metasploit是一个免费的.可下载的框架,通过它可以很容易地获取.开发并对计算机软件漏洞实施攻击.它本身附带数百个已知软件漏洞的专业级漏洞攻击工具,并保持着频繁更新 ...
最新文章
- RPC 笔记(07)— socket 通信(多进程服务器)
- Mask Rcnn训练自己的航拍数据集
- 2020年10月linux内核,Linux内核5.9于2020年10月12日发布
- CentOS 7系统启动后怎么从命令行模式切换到图形界面模式
- 自然语言处理NLP常用开源/免费工具
- python语言变量随时命名随时赋值_Python变量及数据类型用法原理汇总
- 编译原理教程_7 语法制导的语义计算
- 电影购票c语言程序,C语言电影购票系统小样
- 电脑宝马,大量宝马车电脑通病故障检修方法
- Neural Machine Translation by Jointly Learning to Align and Translate论文及代码助解
- python爬取英雄联盟所有皮肤价格表_python 爬取英雄联盟皮肤并下载的示例
- Java接口实现打印机
- SpringBoot框架的基于java的疫情期间网课管理系统
- 人工智能前沿——玩转OpenAI聊天机器人ChatGPT(中文版)
- 经典五大算法思想-------入门浅析
- SSM出租车查询系统 毕业设计-附源码220915
- missing ‘;‘ before ‘int‘ C语言
- 串口 【RXD TXD含义】【RTS CTS协议】
- 02.Win10诸多坑之windows search服务启动失败
- 游戏编程入门(10):播放数字声音效果