SMB協議漏洞分析

SMB協議漏洞分析

2017年，勒索病毒WannaCry和Petya利用SMB 1.0暴露的漏洞，利用Windows操做系統445端口進行傳播。

不一樣SMB版本在Windows出現的順序：

• CIFS – Windows NT 4.0
• SMB 1.0 – Windows 2000
• SMB 2.0 – Windows Server 2008 and Windows Vista SP1
• SMB 2.1 – Windows Server 2008 R2 and Windows 7
• SMB 3.0 – Windows Server 2012 and Windows 8
• Smb 3.02 – Windows Server 2012 R2 and Windows 8.1

客戶端和服務器SMB版本兼容性列表：

操做系統	Windows 8.1, Server 2012 R2	Windows 8, Server 2012	Windows 7, Server 2008 R2	Windows Vista, Server 2008	Windows XP, Server 2003 and earlier
Windows 8.1 , Server 2012 R2	SMB 3.02	SMB 3.0	SMB 2.1	SMB 2.0	SMB 1.0
Windows 8 , Server 2012	SMB 3.0	SMB 3.0	SMB 2.1	SMB 2.0	SMB 1.0
Windows 7, Server 2008 R2	SMB 2.1	SMB 2.1	SMB 2.1	SMB 2.0	SMB 1.0
Windows Vista, Server 2008	SMB 2.0	SMB 2.0	SMB 2.0	SMB 2.0	SMB 1.0
Windows XP, 2003 and earlier	SMB 1.0	SMB 1.0	SMB 1.0	SMB 1.0	SMB 1.0

咱們的生產環境都是Windows Server 2012 R2，下面是SMB Server和SMB Client對應的服務：

LanmanServer

LanmanWorkstation

能夠看到都不支持SMB 1.0驅動。

嘗試修改Windows Server 2012 R2的445端口

嘗試使用Windows Server 2003修改445端口的方式，修改端口爲48322

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Smb]

"SessionPort"=dword:0000bcc2

"DatagramPort"=dword:0000bcc2

重啓服務器後，查看到依然監聽在445端口，UNC仍能訪問。說明修改端口失敗。該方式只能用在SMB 1.0版本時代。