SMBv3远程代码执行漏洞(CVE-2020-0796)

  • A+
所属分类:安全漏洞

1.漏洞描述

微软3月11日发布3月例行更新,提到部分关于该CVE-2020-0796的高危漏洞资料信息,但未提供相关补丁,该漏洞攻击方式与之前永恒之蓝(ms17-010)的攻击方式一样,也是利用Window SMB漏洞远程攻击获取系统最高权限,是WannacCry勒索病毒和挖矿病毒最喜欢利用攻击方式。

2020年3月12日23点微软才发布正式发布CVE-2020-0796高危漏洞补丁。


2.攻击路径

一旦存在漏洞的Window10被感染后,后续可能会向内部其它使用相关的Windows10电脑进行攻击,可能植入木马或后门,从而控制盗取电脑上机密文件


SMBv3远程代码执行漏洞(CVE-2020-0796)


3.影响版本

漏洞不影响win7,漏洞影响Windows 10 1903(包括1903)之后的32位、64位Windows,包括家用版、专业版、企业版、教育版。具体列表如下
Windows 10 Version 1903 for32-bit Systems
Windows 10 Version 1903 for x64-basedSystems
Windows 10 Version 1903 forARM64-based Systems
Windows Server, Version 1903 (ServerCore installation)
Windows 10 Version 1909 for 32-bitSystems
Windows 10 Version 1909 for x64-basedSystems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Coreinstallation)

4.如何查看版本

即可显示当前win10是否受影响

第一步:windows+R键,输入“winver”

SMBv3远程代码执行漏洞(CVE-2020-0796)


第二步: 显示当前win10系统的版本,若Windows10 1903(包括1903)之后均存在该漏洞

SMBv3远程代码执行漏洞(CVE-2020-0796)

5.如何修复

第一步:补丁修改

1.直接补丁推送,将已经最新的Window10补丁进行更新及推送终

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

2.对于无法采取打补丁措施进行漏洞修复的服务器或终端,采取以下微软官方给出的禁用SMBv3方法(缓解措施)。

若禁用后对业务有影响,可执行SMBv3启用方法进行回退。


①.禁用方法

使用以下 PowerShell命令

Set-ItemProperty -Path"HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters"DisableCompression -Type DWORD -Value 1 -Force


②.启用方法

使用以下 PowerShell命令

Set-ItemProperty -Path"HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters"DisableCompression -Type DWORD -Value 0 –Force

 

第二步:杀毒软件更新

与厂商确认最新杀毒库特殊是否已包含该病毒攻击特征,及时升级并更新至各个终端用户


第三步:加强内网445及445端口的隔离

监控网络内是否有大量445的请求或异常流量,对其进行识别并安排专人跟进


6.SMBv3禁用影响说明

禁用SMBv3后,以下功能会被禁用:

  • 透明的故障转移-客户端在维护或故障转移期间重新连接而不会中断群集节点

  • 横向扩展–在所有文件集群节点上并发访问共享数据

  • 多通道-如果客户端和服务器之间有多个路径,则网络带宽和容错能力的聚合

  • SMB Direct –添加了RDMA网络支持,以实现非常高性能,低延迟和低CPU使用率

  • 加密–提供端到端加密,并防止窃听不可信网络

  • 目录租赁-通过缓存提高分支机构中应用程序的响应时间

  • 性能优化-针对小型随机读写I / O的优化

由于禁用SMBv3 只能作为临时故障排除措施,因此,我们还是建议在业务允许的情况下,采取安装补丁措施修复漏洞。


SMBv3远程代码执行漏洞(CVE-2020-0796)




本文始发于微信公众号(赛博星人):SMBv3远程代码执行漏洞(CVE-2020-0796)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: