Dieses Repository enthält einen Testfall für CVE-2020-0796
Mit diesem kleinen Skript können Sie überprüfen, ob ein Server von Ihnen verwundbar ist. Das Skript prüft, ob Sie Compression aktiviert haben und die SMB-Version 3.1.1 ist. Das ganze geschieht über einen "negotiate request".
python3 eternalghost.py IP
Microsoft-Hinweis zum Deaktivieren der SMBv3-Komprimierung - Englisch
Set-ItemProperty -Pfad "HKLM:\SYSTEM\CurrentControlSet\Dienste\LanmanServer\Parameter" Deaktivieren der Kompression -Typ DWORD -Wert 1 -Kraft
Wenn Sie eine Perimeter-Firewall haben, sollten Sie in Betracht ziehen, den TCP-Port 445 zu blockieren. Systeme sind von außen nicht anfällig, wenn Sie den Port blockieren. Sie sind weiterhin von innerhalb des Unternehmens-Perimeters verwundbar.
Da es sich um einen "wurmstichigen" Angriff handelt, sollten Sie auch den SMB-Verkehr von seitlichen Verbindungen und den Eintritt oder Austritt aus Ihrem Netzwerk verhindern. Verhindern von unkontrolliertem SMB Verkehr in Ihrem Netzwerk
Nähere Informationen finden Sie auf dem AWARE7 Blog
- Windows 10 Version 1903 für 32-Bit-Systeme
- Windows 10 Version 1903 für ARM64-basierte Systeme
- Windows 10 Version 1903 für x64-basierte Systeme
- Windows 10 Version 1909 für 32-Bit-Systeme
- Windows 10 Version 1909 für ARM64-basierte Systeme
- Windows 10 Version 1909 für x64-basierte Systeme
- Windows Server, Version 1903 (Server Core-Installation)
- Windows Server, Version 1909 (Server Core-Installation)
Im Rahmen unserer Pentetrationstests überprüfen wir Ihre Systeme auch auf diese Schwachstelle.
This repository contains a test case for CVE-2020-0796
With this small script you can check wether a server of yours is vulnerable. The script checks for compression capability and SMB version 3.1.1 via a negotiate request.
python3 eternalghost.py IP
Microsoft Advisory on Disabling SMBv3 compression
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
If you have a perimeter firewall you should consider blocking TCP port 445. Systems are not vulnerable from the outside, if you block this port. You will still be vulnerable from within the enterprise perimeter
Since the attack is "wormable" you should also prevent SMB traffic from lateral connections and entering or leaving your network. Preventing SMB traffic from lateral connections and entering/leaving your network
Find more information on our AWARE7 blog
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
As part of our penetration tests, we also check your systems for this vulnerability.