Hướng dẫn check lỗi SMB để tránh bị khai thác lỗ hổng CVE-2020-0796

Thảo luận trong 'Audit/Pentest Security' bắt đầu bởi Sugi_b3o, 18/03/20, 11:03 AM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 365
    Đã được thích: 281
    Điểm thành tích:
    63
    Chào các bạn, hôm nay mình xin chia sẻ cách check lỗi CVE-2020-0796 trong giao thức SMB. Hiện Microsoft đã đưa ra cách khắc phục cho lỗ hổng này tuy nhiên để phòng tránh và đảm bảo 100% các máy trong office của công ty bạn đã được khắc phục thì các bạn có thể làm theo hướng dẫn của mình
    smbv3.PNG
    Có 2 công cụ các bạn có thể dùng để check, mình đưa ra 2 options để các bạn có thể kiểm tra chéo với nhau trong trường hợp trong trường hợp không biết công cụ có hoạt động đúng không, và điều tất nhiên là opensource để các bạn yên tâm biết được chạy những gì trên máy của mình.

    Bước 1: Các bạn cài nmap

    Các lệnh các bạn có thể dùng để cài

    Centos:

    Mã:
    yum install nmap
    Ubuntu - debian

    Mã:
    apt-get install nmap 
    Bước 2:

    Mã:
    wget https://raw.githubusercontent.com/joaozietolie/CVE-2020-0796-Checker/master/CVE-2020-0796-Checker.sh
    Bước 3:

    Mã:
    chmod +x CVE-2020-0796-Checker.sh
    Bước 4:

    Mã:
    ./CVE-2020-0796-Checker.sh -t Target-IP 
    Hoặc sau khi tải nmap

    Mã:
    wget https://gist.githubusercontent.com/nikallass/40f3215e6294e94cde78ca60dbe07394/raw/84d803de937f5b6810df4441cc84f0fa63991e2e/check-smb-v3.11.sh
    Bước 3:

    Mã:
    chmod +x check-smb-v3.11.sh
    Mã:
    ./check-smb-v3.11.sh RangeIPScan/25 

    Demo

    Mình sẽ mở port 445 để check trên máy mình với 2 đoạn bash phía trên

    [​IMG]

    Tiến hành mở rule trên firewall local port 445 để check

    [​IMG]

    Có 8 máy dính lỗi này bao gồm máy windows của mình

    Đóng rule firewall để check lại

    [​IMG]

    Chỉ còn lại 7 kết quả, và máy mình báo không còn dính lỗi smb nữa
    Các phiên bản windows ảnh hưởng
    + Windows 10 Version 1903 for 32-bit Systems
    + Windows 10 Version 1903 for ARM64-based Systems
    + Windows 10 Version 1903 for x64-based Systems
    + Windows 10 Version 1909 for 32-bit Systems
    + Windows 10 Version 1909 for ARM64-based Systems
    + Windows 10 Version 1909 for x64-based Systems
    + Windows Server, version 1903 (Server Core installation)
    + Windows Server, version 1909 (Server Core installation)
    Cách phòng tránh:
     
    Chỉnh sửa cuối: 18/03/20, 01:03 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. Sugi_b3o
  2. DDos
  3. Sugi_b3o
  4. WhiteHat News #ID:2017
  5. Maz9717