「漏洞通告」微软SMBv3远程代码执行漏洞(CVE-2020-0796)
2020-03-11
综述
北京时间3月11日,微软发布了3月安全补丁更新,其中包含一条安全通告称其已经了解到在Microsoft Server Message Block 3.1.1(SMBv3)中存在一个远程代码执行漏洞,成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。目前微软官方没有提供安全补丁,但是提供了缓解措施。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
漏洞概述
该漏洞源于SMBv3协议对于特定请求的处理方式存在错误,攻击者可以在未经身份验证的情况下利用该漏洞。
若要针对SMBv3服务器,攻击者可以将特制的数据包发送到SMB服务器来触发。若要针对SMBv3客户端,攻击者需要配置好一个恶意的SMB服务器,并诱使用户连接该服务器。
另据多方研究人员称,该漏洞(CVE-2020-0796)具有蠕虫特性。
受影响版本
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
缓解方案
微软虽然此次没有发布该漏洞的安全补丁,但是提供了缓解措施,建议用户尽快采取相关临时防护措施。
用户可以通过以下Powershell命令来禁用SMBv3 Server的compression来临时防护:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force
注:以上命令不需要重启即可生效。以上命令仅可以用来临时防护针对SMB服务器(SMB SERVER)的攻击,攻击者还是可以利用该漏洞来攻击SMB客户端(SMB Client)。
除此之外,用户还可以在防火墙做好安全策略阻止SMB通信流出企业内部,详情请参考微软官方通告指南:
https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections
