請特別注意 CVE-2020-0796 漏洞

具中華民國網路封包分析協會提供的訊息,提醒大家要特別注意 CVE-2020-0796 漏洞,這個漏洞,會產生類似2017年 WannaCry 與 NotPetya 的加密勒索蠕蟲流竄。預估近期可能對於台灣企業與製造業電腦(含IoT設備),造成網路安全威脅…

這個漏洞,會產生類似2017年 WannaCry 與 NotPetya 的加密勒索蠕蟲流竄。預估近期可能對於台灣企業與製造業電腦(含IoT設備),造成網路安全威脅。自2020年3月11日期,在GitHub等相關網站,已經開始有PoC 實作程式碼,逐漸要釋出,屆時攻擊者可能會藉此PoC範例程式碼,改裝為「蠕蟲化」加密勒索惡意程式,攻擊企業與政府電腦。

但是,CVE-2020-0796 只影響 SMBv3, 也就是Windows 10與 Windows Server 2010以後的版本。對於 Windows 7 與 Windows Server 2008 R2 以前的版本,SMBv2, SMBv1不會受到這個漏洞影響。若是加密勒索程式,使用此漏洞,極可能產生「可蠕蟲化」的自動感染攻擊,屆時所有內部網路電腦(Windows 10)如未安裝 漏洞Patched套件,將可能被加密勒索感染,無一倖免!!

建議1:請注意關閉網路防火牆TCP-445的通訊埠,以阻斷外部網路的網路蠕蟲攻擊(台灣目前仍將近有5萬多部電腦,在網際網路,開放SMB服務,請參考 shodan 網站資料) 另外,暫時禁止用戶端在VPN使用TCP-445,以阻斷用戶端電腦感染SMBv3蠕蟲後,透過VPN攻擊內部電腦。

建議2:公務筆電(會被攜帶到外部網路環境),請關閉有線網路與無線網路的 Microsoft Network 功能支援, 並停用Netbios Over TCP/IP的功能。

偵測技巧:NSPA-SMB基本原則-1

預防偵測:網路封包分析的顯示過濾關鍵字串為:

tcp.port==445 and not (ip.src==內網網段/16 and ip.dst==內網網段/16)

其中,內網網段是假設網路遮罩為255.255.0.0。視實際情況,請自行調整。

上述顯示過濾條件,在Wireshark 執行結果,封包剩餘個數(顯示在螢幕的封包)正常應該為 0 個封包。

 

資料來源:中華民國網路封包分析協會

 

參考資料1: https://www.helpnetsecurity.com/2020/03/11/cve-2020-0796/

參考資料2: https://www.shodan.io/search?query=SMB

參考資料3: https://zh-tw.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block?tns_redirect=true

參考資料4:  https://borncity.com/win/2020/03/11/windows-smbv3-0-day-vulnerability-cve-2020-0796/

>
最新消息
實體課程
線上真人課程
數位學院課程