【更新】CVE-2020-0796 | Windows SMBv3协议蠕虫级漏洞通告
发布时间 2020-06-030x00 漏洞概述
CVE ID |
CVE-2020-0796 |
时 间 |
2020-06-03 |
类 型 |
RCE |
等 级 |
严重 |
远程利用 |
是 |
影响范围 |
Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, version 1903 (Server Core installation) Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1909 for ARM64-based Systems Windows Server, version 1909 (Server Core installation) |
0x01 漏洞详情
Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统,Microsoft Windows Server是一套服务器操作系统,Server Message Block是其中的一个服务器信息传输协议。
2020年3月10日,微软发布安全公告,其中包括一个Windows SMBv3 远程代码执行漏洞(CVE-2020-0796)。该漏洞源于SMBv3协议在处理恶意压缩数据包时,进入了错误流程。远程未经身份验证的攻击者可利用该漏洞在应用程序中执行任意代码。
2020年6月2日,国外安全研究员公开了CVE-2020-0796(别名:SMBGhost)漏洞的RCE代码,攻击者可能基于此POC构造导致蠕虫式传播的武器化工具,无需用户交互即可控制目标系统,此前已公开的PoC是可导致受影响的系统蓝屏。
演示视频:
https://twitter.com/RicercaSec/status/1249904222490918917
0x02 处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796
临时措施:
● 可使用注册表禁用SMBv3 的compression,命令如下:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
● 建议关闭SMB服务端口,禁用139和445端口。
0x03 相关新闻
https://blog.rapid7.com/2020/03/12/cve-2020-0796-microsoft-smbv3-remote-code-execution-vulnerability-analysis/
0x04 参考链接
https://github.com/chompie1337/SMBGhost_RCE_PoC
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796
0x05 时间线
2020-03-12 微软更新补丁
2020-06-02 研究人员公开远程代码执行的PoC
2020-06-03 VSRC发布漏洞通告