在剛剛結(jié)束的DEFCON安全大會(huì)上，有安全研究人員披露了一個(gè)與Windows SMB協(xié)議相關(guān)的0 Day漏洞。該漏洞可被利用進(jìn)行遠(yuǎn)程DOS攻擊，造成Windows系統(tǒng)內(nèi)存耗盡崩潰。

據(jù)研究人員稱(chēng)，該漏洞是分析“永恒之藍(lán)”漏洞衍生出的新漏洞，目前微軟官方認(rèn)為該漏洞屬于中等問(wèn)題，不會(huì)修復(fù)此漏洞，并建議用戶(hù)通過(guò)禁用SMBv1協(xié)議進(jìn)行規(guī)避。

一、漏洞信息

[CVE-ID]:無(wú)
[漏洞類(lèi)型]：遠(yuǎn)程拒絕服務(wù)漏洞
[危害等級(jí)]：高危
[影響版本]：Windows 2000及以上版本運(yùn)行SMBv1協(xié)議的系統(tǒng)

二、漏洞分析

與利用常見(jiàn)的botnet方式發(fā)起的DDoS攻擊不同，攻擊者通過(guò)單臺(tái)機(jī)器就可以利用該漏洞導(dǎo)致目標(biāo)Windows系統(tǒng)崩潰。根據(jù)安全狗初步分析，Windows內(nèi)核的非分頁(yè)池（non-paged pool）上處理內(nèi)存分配的方式存在問(wèn)題，可能導(dǎo)致內(nèi)存池耗盡。遠(yuǎn)程攻擊者可以通過(guò)向開(kāi)放了139或445端口的目標(biāo)Windows系統(tǒng)發(fā)送特制SMB報(bào)文導(dǎo)致分配所有可用內(nèi)存，操作系統(tǒng)在耗盡所有內(nèi)存后會(huì)僵死，但不會(huì)記錄下日志或使系統(tǒng)藍(lán)屏，因此遠(yuǎn)程攻擊者可以利用該漏洞實(shí)施DoS攻擊。

三、排查方法

1、Windows Server 2012檢查SMBv1狀態(tài)的方法：
打開(kāi)“開(kāi)始菜單”中的 “Windows PowerShell”程序，在命令行輸入并執(zhí)行以下指令：
Get-SmbServerConfiguration | Select EnableSMB1Protocol

如果打印“Ture”，則說(shuō)明SMBv1為開(kāi)啟狀態(tài)。

2、Windows Server 2008檢查SMBv1狀態(tài)的方法：
打開(kāi)“開(kāi)始”菜單中的“運(yùn)行”程序，執(zhí)行“regedit”命令打開(kāi)注冊(cè)表，以下注冊(cè)表子項(xiàng)中添加SMB1，類(lèi)型為REG_DWORD，將值設(shè)置為0：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
當(dāng)SMB1值為0時(shí)，SMBv1狀態(tài)為已禁用
當(dāng)SMB1值為1時(shí)，SMBv1狀態(tài)為已啟用

四、應(yīng)急處理方式

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。

1. 關(guān)閉SMBv1

a）Windows Server 2012關(guān)閉SMBv1的方法

在power shell中運(yùn)行命令：
Set-SmbServerConfiguration -EnableSMB1Protocol $false

b）Windows Server 2008禁用SMBv1的方法

請(qǐng)使用 Windows PowerShell 或注冊(cè)表編輯器

更多系統(tǒng)的詳細(xì)配置方法，請(qǐng)參考微軟官網(wǎng)指導(dǎo)
https://support.microsoft.com/zh-cn/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

2. 在系統(tǒng)防火墻或者安全組對(duì)445、139端口進(jìn)行限制。