首頁安全服務安全公告
正文

關于CVE-2020-0796:Windows SMBv3 遠程代碼執行漏洞的安全通告

發布時間:2020-03-14 09:03   瀏覽次數:209

    3月12日,微軟公司發布了Windows系統關于SMBv3協議的內存破壞導致可遠程代碼執行漏洞(CVE-2020-0796)的通告和補丁下載文件。鑒于此漏洞危險程度極高,各用戶應及時對受影響版本的操作系統下載相應補丁來修復漏洞。


【漏洞描述】
Windows SMBv3.1.1協議處理某些請求的方式中,存在一個遠程執行代碼漏洞。攻擊者利用此漏洞的可獲得在目標服務器和客戶端上執行代碼的能力。針對客戶端的用戶,未經身份驗證的攻擊者通過配置SMBv3服務器惡意策略,誘使用戶連接到該服務器,從而達到控制客戶端用戶的目的。


【漏洞危害】
利用此漏洞,攻擊者無需身份驗證,可在目標系統上執行任意代碼,獲取目標系統的控制權限。進而攻擊者可以利用此漏洞實現勒索、挖礦、遠控、竊密等各種攻擊,故漏洞風險較大。


【漏洞復現】

TIM截圖20200319094305.png


如上所示,未安裝補丁或未停用 SMBv3 中的壓縮功能時,測試機器的Windows 10 1903 18362.592版本是存在漏洞的,可遠程獲取系統控制權限。PowerShell下禁用SMBv3的壓縮功能后,檢測漏洞就不存在了。


【漏洞影響版本】

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)


【修復方案】
1、官方補丁地址:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762


2、其他措施:
當無法更新補丁的時候,建議使用防火墻功能關閉、限制 SMBv3 及網絡端口 445 的使用?;虿扇∫韵麓胧┙筍MBv3的壓縮功能。
PowerShell中執行Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force


【注】此命令不能阻止SMB連接的客戶端免受攻擊,禁止SMB壓縮功能不會對系統性能產生影響。命令執行后就生效,無需重啟操作系統。此為變通方法,最好還是通過安裝補丁來修復漏洞。

如需恢復SMBv3的壓縮功能,可執行Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

  

漏 洞 驗 證

黑盾云已針對最新SMBv3遠程代碼執行漏洞(CVE-2020-0796)提供在線檢測POC:

http://heiduncloud.cn/Safetyservice/onlinescanner.html


TIM截圖20200319094323.png

【參考資料】

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 


福建省海峽信息技術有限公司 版權所有  聯系: [email protected] 閩ICP備06011901號 ? 1999-2020 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部

河北20选5开奖号