UCloud-201702-002: Windows SMBv3远程攻击0day漏洞安全预警 | U刻
  • UCloud-201702-002: Windows SMBv3远程攻击0day漏洞安全预警

    栏目:安全资讯

    蓝屏

    尊敬的UCloud用户:

    国外技术网站Github曝光了Windows SMBv3存在远程攻击0day漏洞,根据已公开的漏洞验证代码(POC),攻击者可以模拟成一个SMB服务器,诱使客户端发起SMB请求来触发漏洞,迫使受影响系统蓝屏崩溃。

    影响范围

    Windows Server 2012/2016、Win8/8.1以及Win10系统

    修复方案
    1.windows官网发布补丁后安装补丁包,目前暂未发布补丁;
    2.通过禁用SMB服务来缓解攻击:
    Windows Server 2012可采用以下方法:
    1)查看SMB服务器协议配置的当前状态:
    SmbServerConfiguration | select EnableSMB1Protocol,EnableSMB2Protocol,EnableSMB3Protocol
    2)禁用SMB服务:
    禁用SMBv1:
    SmbServerConfiguration -EnableSMB1Protocol $false
    禁用SMBv2和SMBv3:
    Set-SmbServerConfiguration -EnableSMB2Protocol $false

    3.在防火墙处阻止TCP 端口 139 和 445,通过阻止入站和出站 SMB 流量,防范此漏洞攻击造成的安全风险。

    漏洞详情
    windows SMBv3存在远程攻击0day漏洞,此漏洞存在于SMB客户端(mrxsmb20.sys),已公开的POC可以导致系统死亡蓝屏。攻击者可以通过139、445等远程端口,或中间人攻击,甚至以包含UNC路径的邮件、文档或网页诱骗用户点击触发漏洞。

    PoC:https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect

    参考链接