SMBGhost （CVE-2020-0796）漏洞是3月份微软补丁日意外泄露的一个安全漏洞。漏洞是Microsoft Server Message Block 3.1.1 (SMBv3)通信协议中发现的一个缓冲区溢出漏洞。是由于SMBv3在处理精心伪造的恶意压缩数据包时发生错误引起的。未经认证的远程攻击者可以利用该漏洞在应用程序的上下文环境中执行任意代码。漏洞影响运行Windows 10版本1903，Windows Server版本1903（服务器核心安装），Windows 10版本1909和Windows Server版本1909服务器的设备。

DoS—— LPE ——RCE

漏洞泄露后，先后有多个安全研究人员对漏洞进行了分析，并发布了PoC漏洞。Kryptos Logic安全研究人员Marcus Hutchins发布了该漏洞的DoS 漏洞利用。之后，又有许多研究人员发布了关于该漏洞的LPE （本地权限提升）版本的PoC，但是没有研究人员发布关于该漏洞的远程代码执行PoC。

因为远程kernel漏洞利用和本地漏洞利用是不同的，攻击者无法使用一些常用的操作系统函数，包括参考PEB、发布系统调用等。

近日，Ricerca安全研究人员发布了一个针对该漏洞的PoC的RCE漏洞利用，相关技术细节参见：https://ricercasecurity.blogspot.com/2020/04/ill-ask-your-body-smbghost-pre-auth-rce.html

Kryptos Logic研究人员发现有大约48000台Windows 10主机受到SMBGhost漏洞的影响，研究人员称发布该漏洞PoC的原因是为了避免被黑客滥用。

PoC视频：https://player.vimeo.com/video/409855578

研究人员建议用户尽快更新补丁，如果暂时无法安装补丁，可以使用以下PowerShell (Admin) 命令来禁用SMBv3压缩：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

企业级用户可以在企业级防火墙上拦截TCP 445端口流量来预防该漏洞利用。

本文翻译自：https://www.bleepingcomputer.com/news/security/windows-10-smbghost-rce-exploit-demoed-by-researchers/如若转载，请注明原文地址