details about new SMB wormable bug leak:
ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression
Microsoft patches SMBv3 wormable bug that leaked earlier this week
CVE-2020-0796相关信息(smbv3漏洞检测工具):
nikallass / check-smb-v3.11.sh :linux下的检测脚本
Scanner for CVE-2020-0796 - SMBv3 RCE : 基于python3的检测脚本
CVE-2020-0796相关分析信息:
SMBGhost – Analysis of CVE-2020-0796
微软SMBv3客户端/服务端远程代码执行漏洞(CVE-2020-0796)技术分析
CVE-2020-0796-PoC:
概述
PoC报告可以看这个文档 ,虽然Windows defender没有直接删除,但是当内容保存时,提示我需要发到远端服务器判断,看来windows defender还是挺靠谱的
3.12爆出的漏洞,3.18公布exp
windows SMB 3使用说明:
https://docs.microsoft.com/zh-cn/windows-server/storage/file-server/file-server-smb-overview
受影响的系统
+ Windows 10 Version 1903 for 32-bit Systems
+ Windows 10 Version 1903 for ARM64-based Systems
+ Windows 10 Version 1903 for x64-based Systems
+ Windows 10 Version 1909 for 32-bit Systems
+ Windows 10 Version 1909 for ARM64-based Systems
+ Windows 10 Version 1909 for x64-based Systems
+ Windows Server, version 1903 (Server Core installation)
+ Windows Server, version 1909 (Server Core installation)
POC
- 检查本地计算机上的活动SMB连接版本(Windows 8及更高版本)
- Powershell.exe-> Get-SMBConnection 这仅显示当前打开的SMB连接
- Nmap扫描以检查支持的SMB协议版本
nmap -p445 --script smb-protocols <目标主机/子网> | grep -P'\ d + \。\ d + \。\ d + \。\ d + | ^ \ |。\ s + 3.11'