首頁 > 安全研究 > 安全通報 > 安全通告

【更新】CVE-2020-0796 | Windows SMBv3協議蠕蟲級漏洞通告

發布時間 2020-06-03

0x00 漏洞概述

CVE ID

CVE-2020-0796

時間

2020-06-03

類型

RCE

等級

嚴重

遠程利用

是

影響范圍

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)

0x01 漏洞詳情

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統，Microsoft Windows Server是一套服務器操作系統，Server Message Block是其中的一個服務器信息傳輸協議。

2020年3月10日，微軟發布安全公告，其中包括一個Windows SMBv3 遠程代碼執行漏洞（CVE-2020-0796）。該漏洞源于SMBv3協議在處理惡意壓縮數據包時，進入了錯誤流程。遠程未經身份驗證的攻擊者可利用該漏洞在應用程序中執行任意代碼。

2020年6月2日，國外安全研究員公開了CVE-2020-0796（別名：SMBGhost）漏洞的RCE代碼，攻擊者可能基于此POC構造導致蠕蟲式傳播的武器化工具，無需用戶交互即可控制目標系統，此前已公開的PoC是可導致受影響的系統藍屏。

演示視頻：

https://twitter.com/RicercaSec/status/1249904222490918917

0x02 處置建議

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796

臨時措施：

● 可使用注冊表禁用SMBv3 的compression，命令如下：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

● 建議關閉SMB服務端口，禁用139和445端口。

0x03 相關新聞

https://blog.rapid7.com/2020/03/12/cve-2020-0796-microsoft-smbv3-remote-code-execution-vulnerability-analysis/

0x04 參考鏈接

https://github.com/chompie1337/SMBGhost_RCE_PoC

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796

0x05 時間線

2020-03-12 微軟更新補丁

2020-06-02 研究人員公開遠程代碼執行的PoC

2020-06-03 VSRC發布漏洞通告

7*24小時服務熱線

400-624-3900

官方微信

官方微博

法律聲明

網絡安全防護

網絡安全檢測

應用安全

數據安全

安全管理

云安全

工控安全

移動及終端安全

密碼應用安全

大模型應用安全

專業安全服務

安全運營中心

知白學院

威脅情報中心

安全團隊

售后服務

公司概況

新聞動態

技術專題

人才招聘

投資者關系

資源中心

聯系我們

安全研究

【更新】CVE-2020-0796 | Windows SMBv3協議蠕蟲級漏洞通告

關于我們

解決方案

聯系我們

7*24小時服務熱線