一、漏洞名称
Windows SMBv3 远程代码执行漏洞
二、漏洞编号
CVE-2020-0796
三、漏洞背景
2020年3月10日,思科Talos团队和Fortinet公司发布了一个Smbv3 的0day漏洞,攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备,理论上存在蠕虫化的可能性。由于漏洞存在的信息已经扩散,有迹象表明黑客团伙正在积极地研究漏洞细节尝试利用,构成潜在的安全威胁。
2020年3月12日微软发布了相应的安全补丁,强烈建议用户立即安装补丁以免受此漏洞导致的风险。
四、漏洞详情
漏洞存在于Windows的SMBv3.0(文件共享与打印服务)中,对于漏洞的利用无需用户验证,通过构造恶意请求即可触发导致任意代码执行,系统受到非授权控制。
五、危害影响
Windows 10Version 1903 32-bit
Windows 10Version 1903 x64
Windows 10Version 1903 ARM64
Windows Server,version 1903 (系统核心)
Windows 10Version 1909 32-bit
Windows 10Version 1909 x64
Windows 10Version 1909 ARM64
Windows Server,version 1909 (系统核心)
六、修复建议
1. 微软官方已发布针对此漏洞受影响版本的补丁程序,建议用户参考以下链接尽快安装补丁程序:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
2. 若暂时无法安装补丁,可采取临时缓解措施:
-
禁用SMbv3 compression ,可以在SMBv3 Server的PowerShell中执行如下代码:
Set-ItemProperty-Path"HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters"DisableCompression -Type DWORD -Value 1 -Force
1) 进行更改后,无需重新启动。
2) 此解决方法不能防止利用SMB客户端。
3) 使用以下PowerShell命令可解除禁用compression:
Set-ItemProperty-Path"HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters"DisableCompression -Type DWORD -Value 0 -Force
-
在企业外围防火墙处阻止445端口的连接。
原文始发于微信公众号(嘉诚安全):更新:补丁发布|Windows SMBv3 远程代码执行漏洞安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论