IT Security/Vulnerability

취약점) CVE-2020-0796 SMB 취약점

로픽 2020. 3. 17. 02:28
300x250

취약점 코드

CVE-2020-0796

 

Vendor

Microsoft Windows

 

영향받는 버전

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows Server, Version 1909 (Server Core installation)

 

취약점 설명

신규 SMB 취약점은 변형된 헤더를 포함한 압축된 데이터 패킷이 SMB Server 및 Client 에 정수 오버플로우를 일으키면서 발생되며, SMB v3.1.1을 이용하는 Windows10 및 Windows Server을 대상으로 합니다.

공격자는 취약점 공격을 통해 악의적인 코드를 실행할 수 있습니다.

또한, 이전에 유행한 랜섬웨어 WannaCry 와 같이 네트워크를 통해 전파 가능할 것으로 예상됩니다.

 

취약점 조치방안

Microsoft는 해당 취약점에 대한 패치를 3월 12일 발표하였습니다.

빠른 업데이트가 필요하며, 수동 업데이트를 적용하는 경우 KB4551762 패치 적용이 필요합니다.

 

OS 업데이트 외 조치 방안으로

 

* For SMB Servers

 - 취약점의 실행을 막기 위해 PowerShell의 아래의 명령어 입력 필요.

  Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

 

* For SMB clients

 - 랜섬웨어 WannaCry 예방처럼 방화벽에서 TCP 445 포트에 대한 차단 적용 필요.

 

취약 버전 확인 및 SMB v3.1.1 사용 여부 확인

출처 : https://github.com/cve-2020-0796/cve-2020-0796

 

cve-2020-0796/cve-2020-0796

CVE-2020-0796 - a wormable SMBv3 vulnerability. How to work. - cve-2020-0796/cve-2020-0796

github.com

위의 github 에서 취약 버전 확인 및 SMB v3.1.1 사용 여부를 확인할 수 있는 스크립트 파일을 제공하고 있습니다.

위 사이트에서 추가적인 정보를 제공받을 수 있습니다.

현재 Exploit Script는 공개되지 않았으며 추후 공개될 예정입니다.

 

취약점 탐지

alert tcp any any -> any 445 (msg:"Claroty Signature: SMBv3 Used with compression - Client to server"; content:"|fc 53 4d 42|"; offset: 0; depth: 10; sid:1000001; rev:1; reference:url,//blog.claroty.com/advisory-new-wormable-vulnerability-in-microsoft-smbv3;)

 

alert tcp any 445 -> any any (msg:"Claroty Signature: SMBv3 Used with compression - Server to client"; content:"|fc 53 4d 42|"; offset: 0; depth: 10; sid:1000002; rev:1; reference:url,//blog.claroty.com/advisory-new-wormable-vulnerability-in-microsoft-smbv3;)

 

상세분석

출처 : https://www.fortinet.com/blog/threat-research/cve-2020-0796-memory-corruption-vulnerability-in-windows-10-smb-server.html

 

CVE-2020-0796 Memory Corruption Vulnerability in Windows 10 SMB Server

Microsoft recently released a patch for CVE-2020-0796, a critical SMB server vulnerability that affects Windows 10. In this blog post, we attempt to explain the root cause of the CVE-2020-0796 vuln…

www.fortinet.com

 

출처

출처 : https://github.com/cve-2020-0796/cve-2020-0796

출처 : www.kaspersky.com/blog/smb-311-vulnerability/33991/

출처 : github.com/cve-2020-0796/cve-2020-0796

반응형
저작자표시