1. 程式人生 > >SMB協議漏洞分析

SMB協議漏洞分析

數據庫 SQL Server

SMB協議漏洞分析


2017年,勒索病毒WannaCry和Petya利用SMB 1.0暴露的漏洞,利用Windows操作系統445端口進行傳播。

不同SMB版本在Windows出現的順序:

  • CIFS – Windows NT 4.0
  • SMB 1.0 – Windows 2000
  • SMB 2.0 – Windows Server 2008 and Windows Vista SP1
  • SMB 2.1 – Windows Server 2008 R2 and Windows 7
  • SMB 3.0 – Windows Server 2012 and Windows 8
  • Smb 3.02 – Windows Server 2012 R2 and Windows 8.1


客戶端和服務器SMB版本兼容性列表:

操作系統

Windows 8.1,
Server 2012 R2

Windows 8,
Server 2012

Windows 7,
Server 2008 R2

Windows Vista,
Server 2008

Windows XP, Server 2003 and earlier

Windows 8.1 ,
Server 2012 R2

SMB 3.02

SMB 3.0

SMB 2.1

SMB 2.0

SMB 1.0

Windows 8 ,
Server 2012

SMB 3.0

SMB 3.0

SMB 2.1

SMB 2.0

SMB 1.0

Windows 7,
Server 2008 R2

SMB 2.1

SMB 2.1

SMB 2.1

SMB 2.0

SMB 1.0

Windows Vista,
Server 2008

SMB 2.0

SMB 2.0

SMB 2.0

SMB 2.0

SMB 1.0

Windows XP, 2003 and earlier

SMB 1.0

SMB 1.0

SMB 1.0

SMB 1.0

SMB 1.0


我們的生產環境都是Windows Server 2012 R2,下面是SMB Server和SMB Client對應的服務:

LanmanServer

技術分享圖片

LanmanWorkstation

技術分享圖片

可以看到都不支持SMB 1.0驅動。


嘗試修改Windows Server 2012 R2的445端口

嘗試使用Windows Server 2003修改445端口的方式,修改端口為48322

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Smb]

"SessionPort"=dword:0000bcc2

"DatagramPort"=dword:0000bcc2

重啟服務器後,查看到依然監聽在445端口,UNC仍能訪問。說明修改端口失敗。該方式只能用在SMB 1.0版本時代。

SMB協議漏洞分析