Windows SMBv3 远程代码执行漏洞安全通告

一、漏洞名称

Windows SMBv3 远程代码执行漏洞

二、漏洞编号

CVE-2020-0796

三、漏洞背景

2020年3月10日，思科Talos团队和Fortinet公司发布了一个Smbv3 的0day漏洞,目前没有任何技术详细信息,但漏洞评级为最高等级,官方暂未发布补丁信息。

四、漏洞详情

该漏洞类型为SMB缓冲区溢出，未经授权的远程攻击者可以通过精心构造的请求包进行远程代码执行，不排除攻击客户端的可能性。

五、危害影响

Windows 10Version 1903 32-bit

Windows 10Version 1903 x64

Windows 10Version 1903 ARM64

Windows Server,version 1903 (系统核心)

Windows 10Version 1909 32-bit

Windows 10Version 1909 x64

Windows 10Version 1909 ARM64

Windows Server,version 1909 (系统核心)

六、修复建议

1. 截止2020.03.11 暂无对应补丁

2. 缓解措施为暂时关闭445端口对外开放或禁用SMbv3 compression，禁用SMbv3 compression 可以在SMBv3 Server的Powershell中执行如下代码：

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

• 进行更改后，无需重新启动。
• 此解决方法不能防止利用SMB客户端。

3. 在必要情况下阻止所有进出的445流量。

本文始发于微信公众号（飓风网络安全）：Windows SMBv3 远程代码执行漏洞安全通告