1.漏洞描述

微软3月11日发布3月例行更新，提到部分关于该CVE-2020-0796的高危漏洞资料信息，但未提供相关补丁，该漏洞攻击方式与之前永恒之蓝（ms17-010）的攻击方式一样，也是利用Window SMB漏洞远程攻击获取系统最高权限，是WannacCry勒索病毒和挖矿病毒最喜欢利用攻击方式。

2020年3月12日23点微软才发布正式发布CVE-2020-0796高危漏洞补丁。

2.攻击路径：

一旦存在漏洞的Window10被感染后，后续可能会向内部其它使用相关的Windows10电脑进行攻击，可能植入木马或后门，从而控制盗取电脑上机密文件

3.影响版本

漏洞不影响win7，漏洞影响Windows 10 1903（包括1903）之后的32位、64位Windows，包括家用版、专业版、企业版、教育版。具体列表如下

Windows 10 Version 1903 for32-bit Systems

Windows 10 Version 1903 for x64-basedSystems

Windows 10 Version 1903 forARM64-based Systems

Windows Server, Version 1903 (ServerCore installation)

Windows 10 Version 1909 for 32-bitSystems

Windows 10 Version 1909 for x64-basedSystems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Coreinstallation)

4.如何查看版本

即可显示当前win10是否受影响

第一步：windows+R键，输入“winver”

第二步: 显示当前win10系统的版本，若Windows10 1903（包括1903）之后均存在该漏洞

5.如何修复

第一步：补丁修改

1.直接补丁推送，将已经最新的Window10补丁进行更新及推送终

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

2.对于无法采取打补丁措施进行漏洞修复的服务器或终端，采取以下微软官方给出的禁用SMBv3方法（缓解措施）。

若禁用后对业务有影响，可执行SMBv3启用方法进行回退。

①.禁用方法

使用以下 PowerShell命令

Set-ItemProperty -Path"HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters"DisableCompression -Type DWORD -Value 1 -Force

②.启用方法

使用以下 PowerShell命令

Set-ItemProperty -Path"HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters"DisableCompression -Type DWORD -Value 0 –Force

 

第二步：杀毒软件更新

与厂商确认最新杀毒库特殊是否已包含该病毒攻击特征，及时升级并更新至各个终端用户

第三步：加强内网445及445端口的隔离

监控网络内是否有大量445的请求或异常流量，对其进行识别并安排专人跟进

6.SMBv3禁用影响说明

禁用SMBv3后，以下功能会被禁用：

• 透明的故障转移-客户端在维护或故障转移期间重新连接而不会中断群集节点

• 横向扩展–在所有文件集群节点上并发访问共享数据

• 多通道-如果客户端和服务器之间有多个路径，则网络带宽和容错能力的聚合

• SMB Direct –添加了RDMA网络支持，以实现非常高性能，低延迟和低CPU使用率

• 加密–提供端到端加密，并防止窃听不可信网络

• 目录租赁-通过缓存提高分支机构中应用程序的响应时间

• 性能优化-针对小型随机读写I / O的优化

由于禁用SMBv3 只能作为临时故障排除措施，因此，我们还是建议在业务允许的情况下，采取安装补丁措施修复漏洞。

本文始发于微信公众号（赛博星人）：SMBv3远程代码执行漏洞（CVE-2020-0796）