安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
发布代码执行PoC后发现SMBGhost攻击
2020-06-08 15:02:26 【

美国国土安全部网络安全和基础架构安全局(CISA)已警告Windows用户,最近发布的针对该漏洞的概念证明(PoC)漏洞已被滥用,该漏洞已被滥用以发起SMBGhost攻击。

SMBGhost,也称为CoronaBlue,跟踪为CVE-2020-0796,是与服务器消息块3.0(SMBv3)有关的漏洞,特别是与SMB 3.1.1如何处理某些请求有关的漏洞。该缺陷会影响Windows 10和Windows Server,并且可以被利用来进行拒绝服务(DoS)攻击,本地特权提升和任意代码执行。

在针对SMB服务器的攻击中,攻击者需要将恶意数据包发送到目标系统。对于客户端,黑客必须说服受害者连接到恶意SMB服务器。

微软在披露该漏洞时警告说它很容易被感染,这使其特别危险。该公司在三月份发布了补丁程序和解决方法

研究人员在CVE-2020-0796披露后不久就开始发布PoC漏洞,但这些漏洞仅实现了DoS或特权提升几家公司和研究人员声称已经开发了可实现远程代码执行的漏洞利用程序,但都没有公开。

但是,上周,使用在线绰号Chompie的研究人员发布了SMBGhost漏洞,用于远程执行代码研究人员出于“教育目的”发布了该文档,认为网络安全公司ZecOps将在未来几天内发布其PoC,并且该补丁已经发布了几个月。

Chompie说,在PoC是不可靠的,它往往会导致系统崩溃,但一些专家已经证实,该远程执行代码漏洞的作品

CISA周五建议用户和管理员使用防火墙安装SMBGhost补丁并阻止SMB端口,并警告该漏洞已被广泛利用。

CISA说: “尽管微软在2020年3月披露并提供了此漏洞的更新,但恶意的网络参与者正在利用新的PoC锁定未打补丁的系统。”

研究人员先前警告说,各种恶意软件已在利用SMBGhost 提升特权在本地传播,但现在看来该漏洞也正在被利用以执行远程代码。似乎没有任何详细信息可用于攻击者的具体操作。

MalwareMustDie恶意软件研究小组报告说,最新的攻击还利用了一种开源工具,该工具可帮助用户识别受SMBGhost影响的服务器。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇服务器被ddos攻击怎么办?如何选.. 下一篇游戏行业DDOS防御重要性,该如何..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800