SMB協議漏洞分析
2017年,勒索病毒WannaCry和Petya利用SMB 1.0暴露的漏洞,利用Windows操作系統445端口進行傳播。
不同SMB版本在Windows出現的順序:
- CIFS – Windows NT 4.0
- SMB 1.0 – Windows 2000
- SMB 2.0 – Windows Server 2008 and Windows Vista SP1
- SMB 2.1 – Windows Server 2008 R2 and Windows 7
- SMB 3.0 – Windows Server 2012 and Windows 8
- Smb 3.02 – Windows Server 2012 R2 and Windows 8.1
客戶端和服務器SMB版本兼容性列表:
操作系統 | Windows 8.1, | Windows 8, | Windows 7, | Windows Vista, | Windows XP, Server 2003 and earlier |
Windows 8.1 , | SMB 3.02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8 , | SMB 3.0 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 7, | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows Vista, | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 1.0 |
Windows XP, 2003 and earlier | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 |
我們的生產環境都是Windows Server 2012 R2,下面是SMB Server和SMB Client對應的服務:
LanmanServer
LanmanWorkstation
可以看到都不支持SMB 1.0驅動。
嘗試修改Windows Server 2012 R2的445端口
嘗試使用Windows Server 2003修改445端口的方式,修改端口為48322
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Smb]
"SessionPort"=dword:0000bcc2
"DatagramPort"=dword:0000bcc2
重啟服務器後,查看到依然監聽在445端口,UNC仍能訪問。說明修改端口失敗。該方式只能用在SMB 1.0版本時代。
SMB協議漏洞分析