前言
第一次对CVE漏洞进行分析,写这篇文章是为了记录第一次,文笔很生疏,如有不足之处,欢迎各位师傅【斧】正!
1. CVE漏洞基本信息
漏洞描述(原理)
在 Microsoft 服务器消息块 (SMB) 1.0 中发现了多个漏洞,这些漏洞可在受影响主机上导致拒 绝服务或信息泄露。出现这些漏洞是因为受影响主机处理 SMBv1 请求的方式不正确。攻击者可通过向目标SMB发送特制的数据包利用该漏洞获取敏感信息。
本地攻击者通过构造的包,可获取敏感服务器信息,具体如下:
攻击结果:
获取目标服务器的Windows版本
2、漏洞级别
中等
漏洞影响范围:
Microsoft Windows Server 2016
Microsoft Windows Server 2012
Microsoft Windows Server 2008
Microsoft Windows 8.1
Microsoft Windows 7
Microsoft Windows 10
漏洞复现方法
攻击者可以制作特殊的数据包,导致服务器泄露信息。
要利用此漏洞,在大多数情况下,未经身份验证的攻击者可以将特制数据包发送到目标SMBv1服务器。
3. 漏洞的数据采集和分析
在SMB数据包中,包含adminstrator 字符串。
4. 漏洞的IDS规则
alert SMB any any -> any any (msg:“cve-2017-0271 Windows SMB信息泄露漏洞”; flow:to_server,established; content:"|61 00 64 00 6d 00 69 00 6e 00 69 00 73 00 74 00 72 00 61 00 74 00 6f 00 72|"; offset:300; depth:400; reference:url,https://www.cvedetails.com/cve/CVE-2017-0271/; classtype:SMB; sid:5000001; rev:1;)
5. 漏洞的验证结果
6.处置建议厂商补丁:
1、禁用SMBv1
2、Microsoft已经为此发布了一个安全公告(CVE-2017-0271)以及相应补丁:
CVE-2017-0271:Windows SMB Information Disclosure Vulnerability
7、参考链接:
CVE-2017-0271 Microsoft Windows SMB 信息泄露漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安全资讯平台
CVE-2017-0271 | Windows SMB Information Disclosure Vulnerability
cisco CVE2017-0221 ~ 2017-0280