首页 » 安全预警 » 正文

【高危安全通告】Windows SMBv3 远程代码执行漏洞(CVE-2020-0796)

近日,国外厂商发布了一个 Windows Smbv3 的0day, 该漏洞尚未在微软本月补丁日出现,漏洞评级为最高等级, 本通报发布之时(2020.03.11)未发现官方相关漏洞补丁发布。经过分析,该漏洞是利用Microsoft SMB服务器中的缓冲区溢出漏洞进行攻击。SMBv3 协议在处理使用压缩的数据包时存在漏洞,远程且未经授权认证的攻击者通过利用此漏洞,可以在受影响的目标服务器上执行任意恶意代码,获取系统权限。

此漏洞不仅影响 SMBv3 服务端,同时也影响客户端:当 SMBv3 客户端连接到一个恶意的 SMBv3 服务端时,也存在被攻击的风险。

官方目前暂时未发布安全补丁,建议采取以下缓解措施:

1.禁用 SMBv3 compression:

可以用管理员权限执行以下 PowerShell 命令,来禁用 SMBv3 compression:

Set-ItemProperty-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

说明:

(1) 命令执行完毕后,系统无需重启即可生效

(2) 此缓解办法仅防止针对 SMBv3 服务端的漏洞攻击利用,无法防止针对客户端的攻击利用。

(3) 如果要解除对 SMBv3 compression 的禁用,使用以下命令:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force

2.采用防火墙等措施,阻止对 TCP 445 端口的连接。

3.参考 Microsoft 准则,防止 SMB 流量流出公司网络:

https://support.microsoft.com/en-us/help/3185535/guidelines-for-blocking-specific-firewall-ports-to-prevent-smb-traffic

发表评论