首頁 > 安全研究 > 安全通報 > 安全通告

微軟SMB3協議遠程利用0day漏洞風險通告

發布時間 2020-03-11

漏洞編號和級別


CVE編號:CVE-2020-0796,危險級別:嚴重,CVSS分值:官方未評定


影響版本


Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)


漏洞概述


CVE-2020-0796 是存在于微軟服務器SMB協議中的一個“蠕蟲化”漏洞,該漏洞未包含在微軟本月發布的補丁中,是在補丁的序言中泄露的。目前微軟尚未發布任何技術詳情,思科 Talos 團隊和 Fortinet 公司提供了簡短概述,目前尚不清楚該漏洞的補丁何時發布。


Fortinet 公司指出,該漏洞是“微軟 SMB 服務器中的一個緩沖區溢出漏洞”,嚴重等級為最高評分,“該漏洞由易受攻擊的軟件錯誤地處理惡意構造的壓縮數據包而觸發。遠程、未經認證的攻擊者可利用該漏洞在該應用程序的上下文中執行任意代碼?!?


思科 Talos 博客文章也給出了類似描述,不過隨后將其刪除。思科指出,“利用該漏洞可導致系統遭蠕蟲攻擊,也就是說漏洞可輕易地在受害者之間傳播?!?


漏洞驗證


暫無PoC/EXP。


修復建議


目前微軟沒有發布漏洞詳情及補丁。


緩解措施:

1. 禁用SMbv3 compression。禁用SMbv3 compression 可以在SMBv3 Server的Powershell中執行如下代碼

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

進行更改后,無需重新啟動。此解決方法不能防止利用SMB客戶端。;

2. 若無業務必要,在網絡安全域邊界防火墻封堵文件打印和共享端口(tcp:135/139/445);

3. 安裝殺毒軟件,不接收和點擊來歷不明的文件、郵件附件,并做好數據備份工作,防止感染勒索病毒。


參考鏈接


https://fortiguard.com/encyclopedia/ips/48773


上一篇 下一篇