【漏洞通告】 补丁发布|微软SMBv3协议远程代码执行漏洞(CVE-2020-0796)

漏洞描述

3月10日,微软发布安全通告称Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞,未经身份验证的攻击者发送精心构造的数据包进行攻击,可在目标SMB服务器上执行任意代码。

3月12日微软发布了相应的安全补丁,强烈建议用户立即安装补丁以免受此漏洞导致的风险。

漏洞编号

CVE-2020-0796

漏洞危害

攻击者利用此漏洞,可实现远程代码执行。

漏洞等级

高危
受影响版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

修复方案

  1. 微软已经发布了此漏洞的安全补丁,访问如下链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-079

如果暂时无法安装补丁,禹宏信安当前建议按如下临时解决方案处理:

  1. 禁用SMBv3压缩

使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

用户可通过以下PowerShell命令撤销禁用压缩功能

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force

注:利用以上命令进行更改后,无需重启即可生效;该方法仅可用来防护针对SMB服务器(SMB SERVER)的攻击,无法对SMB客户端(SMB Client)进行防护。

2.设置防火墙策略

在边界防火墙做好安全策略阻止SMB通信流出企业内部,详情可参考微软官方的指南:

https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections

参考链接

1.https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005

2.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-079