微软SMB3协议远程利用0day漏洞风险通告
发布时间 2020-03-11漏洞编号和级别
CVE编号:CVE-2020-0796,危险级别:严重,CVSS分值:官方未评定
影响版本
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
漏洞概述
CVE-2020-0796 是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科 Talos 团队和 Fortinet 公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。
Fortinet 公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。”
思科 Talos 博客文章也给出了类似描述,不过随后将其删除。思科指出,“利用该漏洞可导致系统遭蠕虫攻击,也就是说漏洞可轻易地在受害者之间传播。”
漏洞验证
暂无PoC/EXP。
修复建议
目前微软没有发布漏洞详情及补丁。
缓解措施:
1. 禁用SMbv3 compression。禁用SMbv3 compression 可以在SMBv3 Server的Powershell中执行如下代码
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
进行更改后,无需重新启动。此解决方法不能防止利用SMB客户端。;
2. 若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/445);
3. 安装杀毒软件,不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染勒索病毒。
参考链接
https://fortiguard.com/encyclopedia/ips/48773
京公网安备11010802024551号