【漏洞公告】持续更新:Windows SMBv3远程拒绝服务

2017-02-06

北京时间2月2日,国外技术网站Github曝光了Windows SMBv3存在远程攻击0day漏洞。根据已公开的漏洞验证代码(POC),攻击者可以模拟成一个SMB服务器,诱使客户端发起SMB请求来触发漏洞。攻击者也可以通过中间人方式“毒化”SMB回应,插入恶意的SMB回复实现拒绝服务,迫使受影响系统蓝屏崩溃。
目前微软尚未对此漏洞发布公告,暂不明确何时将推出补丁。



漏洞编号:暂无


官方评级:高危


漏洞描述:
此漏洞存在于SMB客户端(mrxsmb20.sys),已公开的POC可以导致系统BSOD,即死亡蓝屏。攻击者可以通过139、445等远程端口,或中间人攻击,甚至以包含UNC路径的邮件、文档或网页诱骗用户点击触发漏洞。


漏洞影响范围:
Windows Server 2012/2016、Win8/8.1以及Win10系统


漏洞修复建议(或缓解措施):
由于该漏洞攻击方法已经公开,且尚无补丁,阿里云盾团队建议云上用户采用以下两种缓解措施降低风险:

  • 禁用SMB服务

Windows Server 2012 引入了新的一组 SMBServerConfiguration Windows PowerShell cmdlet。该 cmdlet 可以启用或禁用服务器组件上的 SMBv1、 SMBv2 和 SMBv3 协议。
可以使用Windows Powershell查看SMB服务启用情况,您可以打开Windows Powershell,执行以下命令:

  • •要获取的 SMB 服务器协议配置的当前状态,请运行以下 cmdlet:  
    Get SmbServerConfiguration |选择 EnableSMB1Protocol,EnableSMB2Protocol  
    •若要禁用 SMB 服务器上的 SMBv1,请运行以下 cmdlet:  
    SmbServerConfiguration -EnableSMB1Protocol $false
    •若要禁用SMB 服务器上的SMBv2 和 SMBv3 ,请运行以下 cmdlet:


  • Set-SmbServerConfiguration -EnableSMB2Protocol $false


  • 禁用SMB风险说明:
    SMB服务是Windows提供局域网内共享访问的协议,用户可以通过该协议实现局域网内部文件共享访问操作,如果禁用了该服务,可能导致无法正常访问共享服务,例如:访问共享文件夹、文件,请您根据业务需求确定是否可以禁用。

  • 在防火墙处阻止TCP 端口 139 和 445,通过安全组策略阻止入站和出站 SMB 流量,避免此漏洞攻击造成的安全风险。


行业新闻
阅读原文
分享
写评论...