關于CVE-2020-0796:Windows SMBv3 遠程代碼執行漏洞的安全通告
發布時間:2020-03-14 09:03 瀏覽次數:670
3月12日�����,微軟公司發布了Windows系統關于SMBv3協議的內存破壞導致可遠程代碼執行漏洞(CVE-2020-0796)的通告和補丁下載文件���。鑒于此漏洞危險程度極高��,各用戶應及時對受影響版本的操作系統下載相應補丁來修復漏洞��。
Windows SMBv3.1.1協議處理某些請求的方式中,存在一個遠程執行代碼漏洞�。攻擊者利用此漏洞的可獲得在目標服務器和客戶端上執行代碼的能力����。針對客戶端的用戶���,未經身份驗證的攻擊者通過配置SMBv3服務器惡意策略���,誘使用戶連接到該服務器�,從而達到控制客戶端用戶的目的�。
利用此漏洞��,攻擊者無需身份驗證����,可在目標系統上執行任意代碼��,獲取目標系統的控制權限�����。進而攻擊者可以利用此漏洞實現勒索��、挖礦��、遠控����、竊密等各種攻擊��,故漏洞風險較大��。
如上所示�����,未安裝補丁或未停用 SMBv3 中的壓縮功能時����,測試機器的Windows 10 1903 18362.592版本是存在漏洞的�,可遠程獲取系統控制權限����。PowerShell下禁用SMBv3的壓縮功能后,檢測漏洞就不存在了��。
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
當無法更新補丁的時候���,建議使用防火墻功能關閉���、限制 SMBv3 及網絡端口 445 的使用���?���;虿扇∫韵麓胧┙筍MBv3的壓縮功能���。PowerShell中執行Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
【注】此命令不能阻止SMB連接的客戶端免受攻擊�����,禁止SMB壓縮功能不會對系統性能產生影響��。命令執行后就生效����,無需重啟操作系統�。此為變通方法���,最好還是通過安裝補丁來修復漏洞����。如需恢復SMBv3的壓縮功能���,可執行Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
