취약점 코드
CVE-2020-0796
Vendor
Microsoft Windows
영향받는 버전
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows Server, Version 1909 (Server Core installation)
취약점 설명
신규 SMB 취약점은 변형된 헤더를 포함한 압축된 데이터 패킷이 SMB Server 및 Client 에 정수 오버플로우를 일으키면서 발생되며, SMB v3.1.1을 이용하는 Windows10 및 Windows Server을 대상으로 합니다.
공격자는 취약점 공격을 통해 악의적인 코드를 실행할 수 있습니다.
또한, 이전에 유행한 랜섬웨어 WannaCry 와 같이 네트워크를 통해 전파 가능할 것으로 예상됩니다.
취약점 조치방안
Microsoft는 해당 취약점에 대한 패치를 3월 12일 발표하였습니다.
빠른 업데이트가 필요하며, 수동 업데이트를 적용하는 경우 KB4551762 패치 적용이 필요합니다.
OS 업데이트 외 조치 방안으로
* For SMB Servers
- 취약점의 실행을 막기 위해 PowerShell의 아래의 명령어 입력 필요.
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
* For SMB clients
- 랜섬웨어 WannaCry 예방처럼 방화벽에서 TCP 445 포트에 대한 차단 적용 필요.
취약 버전 확인 및 SMB v3.1.1 사용 여부 확인
출처 : https://github.com/cve-2020-0796/cve-2020-0796
cve-2020-0796/cve-2020-0796
CVE-2020-0796 - a wormable SMBv3 vulnerability. How to work. - cve-2020-0796/cve-2020-0796
github.com
위의 github 에서 취약 버전 확인 및 SMB v3.1.1 사용 여부를 확인할 수 있는 스크립트 파일을 제공하고 있습니다.
위 사이트에서 추가적인 정보를 제공받을 수 있습니다.
현재 Exploit Script는 공개되지 않았으며 추후 공개될 예정입니다.
취약점 탐지
alert tcp any any -> any 445 (msg:"Claroty Signature: SMBv3 Used with compression - Client to server"; content:"|fc 53 4d 42|"; offset: 0; depth: 10; sid:1000001; rev:1; reference:url,//blog.claroty.com/advisory-new-wormable-vulnerability-in-microsoft-smbv3;)
alert tcp any 445 -> any any (msg:"Claroty Signature: SMBv3 Used with compression - Server to client"; content:"|fc 53 4d 42|"; offset: 0; depth: 10; sid:1000002; rev:1; reference:url,//blog.claroty.com/advisory-new-wormable-vulnerability-in-microsoft-smbv3;)
상세분석
CVE-2020-0796 Memory Corruption Vulnerability in Windows 10 SMB Server
Microsoft recently released a patch for CVE-2020-0796, a critical SMB server vulnerability that affects Windows 10. In this blog post, we attempt to explain the root cause of the CVE-2020-0796 vuln…
www.fortinet.com
출처
출처 : https://github.com/cve-2020-0796/cve-2020-0796
'IT Security > Vulnerability' 카테고리의 다른 글
| 취약점) XXE Injection (0) | 2021.11.01 |
|---|---|
| 취약점) CVE-2019–11581 Jira 원격 코드 실행 취약점 (0) | 2020.04.05 |
| 취약점) CVE-2018-7600 Drupal 원격 코드 실행 취약점 (0) | 2020.03.10 |
| 취약점) CVE-2018-2628 Oracle Weblogic RCE 역직렬화 취약점 (0) | 2020.03.02 |
| 취약점 ) CVE-2018-1273 Spring Remote code execution (0) | 2019.10.11 |