安全研究
安全漏洞
Microsoft SMBv3远程代码执行漏洞(CVE-2020-0796)
发布日期:2020-03-10
更新日期:2020-03-12
受影响系统:Microsoft Windows Windows Server, version 1909 (
Microsoft Windows Windows Server, version 1903 (
Microsoft Windows Windows 10 Version 1909 for x6
Microsoft Windows Windows 10 Version 1909 for AR
Microsoft Windows Windows 10 Version 1909 for 32
Microsoft Windows Windows 10 Version 1903 for x6
Microsoft Windows Windows 10 Version 1903 for AR
Microsoft Windows Windows 10 Version 1903 for 32
描述:
CVE(CAN) ID:
CVE-2020-0796
SMB通信协议是微软和英特尔在1987年制定的协议,主要是作为Microsoft网络的通讯协议。
Microsoft Server Message Block 3.1.1(SMBv3)中存在一个远程代码执行漏洞,成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。该漏洞源于SMBv3协议对于特定请求的处理方式存在错误,攻击者可以在未经身份验证的情况下利用该漏洞。若要针对SMBv3服务器,攻击者可以将特制的数据包发送到SMB服务器来触发。若要针对SMBv3客户端,攻击者需要配置好一个恶意的SMB服务器,并诱使用户连接该服务器。据悉该漏洞具有蠕虫特性。
<*来源:Microsoft Platform Security Assurance & Vulnerability Research
链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
*>
建议:
厂商补丁:
Microsoft
---------
微软虽然此次没有发布该漏洞的安全补丁,但是提供了缓解措施,建议用户尽快采取相关临时防护措施。
用户可以通过以下Powershell命令来禁用SMBv3 Server的compression来临时防护:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force
注:以上命令不需要重启即可生效。以上命令仅可以用来临时防护针对SMB服务器(SMB SERVER)的攻击,攻击者还是可以利用该漏洞来攻击SMB客户端(SMB Client)。
除此之外,用户还可以在防火墙做好安全策略阻止SMB通信流出企业内部,详情请参考微软官方通告指南:
https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections浏览次数:1571
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
