首頁 > 安全研究 > 安全通報 > 安全通告

微軟SMBv3協議遠程代碼執行漏洞修復建議

發布時間 2020-03-14

漏洞編號和級別


CVE編號:CVE-2020-0796,危險級別:嚴重,CVSS分值:官方未評定


影響版本


Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)


漏洞概述


3月12日,微軟更新安全通告針對Windows SMBv3客戶端/服務器遠程代碼執行漏洞緊急發布了安全補丁,確定該漏洞編號為CVE-2020-0796。


Microsoft Server Message Block 3.1.1(SMBv3)協議在處理某些請求的方式中存在代碼執行漏洞。攻擊者可以精心構造數據包發送到SMB服務器,無需經過身份驗證,即可在目標服務器上執行任意代碼。攻擊者可通過部署一臺惡意SMB v3服務器,并誘導用戶(客戶端)連接到該服務器,一旦目標用戶連接,即可在計算機上執行攻擊者自定義的惡意代碼。


由于上述漏洞易被蠕蟲利用傳播惡意程序,推測可能在未來會成為惡意軟件和攻擊者廣泛利用的漏洞,與2017年5月“永恒之藍”漏洞較為相似。


漏洞檢測


1. 系統版本檢測


查看自己使用的Windows版本是否為受影響的版本,方法如下:


使用Win + R后輸入“WinVer”查看當前操作系統的版本號。如果版本號顯示為1903或1909,則證明受此漏洞影響,建議立即安裝補丁。



2. 補丁檢測


在受影響范圍內的操作系統中,可執行以下命令查看補丁安裝的情況。


systeminfo | findstr KB4551762

命令執行結束后如果沒有查詢到KB4551762補丁,則該系統存在安全風險。


3. 工具檢測


此漏洞在網上已有公開的檢測工具,經驗證下列腳本可對SMB版本進行檢測,相關用戶

可自行選擇下載使用。


Python檢測腳本

下載鏈接:https://github.com/ollypwn/SMBGhost/blob/master/scanner.py


Nmap檢測腳本(nse腳本)

下載鏈接:https://github.com/cyberstruggle/DeltaGroup/blob/master/CVE-2020-0796/CVE-2020-0796.nse


Powershell檢測腳本

下載鏈接:https://github.com/T13nn3s/CVE-2020-0976/blob/master/CVE-2020-0796-Smbv3-checker.ps1


4. 產品檢測


啟明星辰天鏡脆弱性掃描與管理系統V6.0產品已具備對此漏洞(CVE-2020-0796)的掃描檢測能力,6070版本升級包為607000278,升級包下載地址:https://www.venustech.com.cn/article/type/1/146.html。


修復建議


微軟官方已針對該漏洞發布了安全補丁KB4551762,建議受影響用戶開啟系統自動更新安裝該補丁進行防護。


注:由于網絡問題、計算機環境問題等原因,Windows Update的補丁更新可能出現失敗。用戶在安裝補丁后,應及時檢查補丁是否成功更新。右鍵點擊桌面左下角的Windows圖標,選擇“設置(N)”,選擇“更新和安全”-“Windows更新”,查看該頁面上的提示信息,也可點擊“查看更新歷史記錄”查看歷史更新情況,確認其中是否包含“KB4551762”

若出現未成功安裝更新補丁的情況,可從官網下載離線安裝包進行更新,下載鏈接如下:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762


緩解措施:


1. 禁用SMBv3壓縮

方法一:使用以下PowerShell命令禁用壓縮功能,以阻止未經身份驗證的攻擊者利用SMBv3 服務器的漏洞。

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force


用戶可通過以下PowerShell命令撤銷禁用壓縮功能

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force


方法二:右鍵點擊桌面左下角的Windows圖標,在彈出菜單中選擇“運行”菜單項,在彈出的運行框中輸入regedit,打開注冊表編輯器。


在 “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”目錄中添加一個DWORD類型的注冊表項DisableCompression ,數值為1。

如需撤銷禁用SMBv3壓縮功能,將該注冊表項數值修改為0或刪除注冊表項即可。


注:利用以上方法進行更改后,無需重啟即可生效;該方法僅可用來防護針對SMB服務器(SMB SERVER)的攻擊,無法對SMB客戶端(SMB Client)進行防護。


2. 設置防火墻策略


在邊界防火墻做好安全策略阻止SMB通信流出企業內部,詳情可參考微軟官方的指南:https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections。


3. 產品防護

針對此漏洞,啟明星辰IDS、IPS、WAF、APT產品已發布規則升級包,下載地址:https://www.venustech.com.cn/article/type/1/140.html。


參考鏈接



https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796



上一篇 下一篇