首页安全服务安全公告
正文

关于CVE-2020-0796:Windows SMBv3 远程代码执行漏洞的安全通告

发布时间:2020-03-14 09:03   浏览次数:232

    3月12日,微软公司发布了Windows系统关于SMBv3协议的内存破坏导致可远程代码执行漏洞(CVE-2020-0796)的通告和补丁下载文件。鉴于此漏洞危险程度极高,各用户应及时对受影响版本的操作系统下载相应补丁来修复漏洞。


【漏洞描述】
Windows SMBv3.1.1协议处理某些请求的方式中,存在一个远程执行代码漏洞。攻击者利用此漏洞的可获得在目标服务器和客户端上执行代码的能力。针对客户端的用户,未经身份验证的攻击者通过配置SMBv3服务器恶意策略,诱使用户连接到该服务器,从而达到控制客户端用户的目的。


【漏洞危害】
利用此漏洞,攻击者无需身份验证,可在目标系统上执行任意代码,获取目标系统的控制权限。进而攻击者可以利用此漏洞实现勒索、挖矿、远控、窃密等各种攻击,故漏洞风险较大。


【漏洞复现】

TIM截图20200319094305.png


如上所示,未安装补丁或未停用 SMBv3 中的压缩功能时,测试机器的Windows 10 1903 18362.592版本是存在漏洞的,可远程获取系统控制权限。PowerShell下禁用SMBv3的压缩功能后,检测漏洞就不存在了。


【漏洞影响版本】

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)


【修复方案】
1、官方补丁地址:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762


2、其他措施:
当无法更新补丁的时候,建议使用防火墙功能关闭、限制 SMBv3 及网络端口 445 的使用。或采取以下措施禁止SMBv3的压缩功能。
PowerShell中执行Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force


【注】此命令不能阻止SMB连接的客户端免受攻击,禁止SMB压缩功能不会对系统性能产生影响。命令执行后就生效,无需重启操作系统。此为变通方法,最好还是通过安装补丁来修复漏洞。

如需恢复SMBv3的压缩功能,可执行Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

  

漏 洞 验 证

黑盾云已针对最新SMBv3远程代码执行漏洞(CVE-2020-0796)提供在线检测POC:

http://heiduncloud.cn/Safetyservice/onlinescanner.html


TIM截图20200319094323.png

【参考资料】

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 


福建省海峡信息技术有限公司 版权所有  联系: hxzhb@heidun.net 闽ICP备06011901号 © 1999-2020 Fujian Strait Information Corporation. All Rights Reserved.

返回顶部