• CVE-2020-0796 Microsoft SMBv3压缩远程执行代码漏洞报告

  • 1.  漏洞简介

    Microsoft SMBv3在压缩处理中包含一个漏洞,该漏洞可能允许未经身份验证的远程攻击者在易受攻击的系统上执行任意代码。

    Microsoft Server Message Block 3.1.1(SMBv3)在处理使用压缩的连接的方式中包含一个漏洞。此漏洞可能允许未经身份验证的远程攻击者在易受攻击的系统上执行任意代码。

    2.  漏洞影响

    通过使用SMBv3连接到易受攻击的Windows计算机,或通过使易受攻击的Windows系统启动与SMBv3服务器的客户端连接,远程未经身份验证的攻击者可以在易受攻击的系统上以SYSTEM特权执行任意代码。

    3.  缓解措施

    目前尚未发现此漏洞的任何补丁,一有更新,请立即更新对应补丁信息

    但是提供以下临时的缓解方案

    1、使用Microsoft SMBv3压缩远程执行代码漏洞检测工具,检测系统是否存在漏洞(链接)。

    下载地址:检测工具

    l  禁用SMBv3压缩

    您可以使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞。

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

    小提示:

    1.       进行更改后,无需重新启动。

    2.     此解决方法不能防止利用SMB客户端。

    您可以使用下面的PowerShell命令禁用解决方法。

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

    l  在企业外围防火墙处阻止TCP 445 端口

    TCP端口445用于启动与受影响组件的连接。在网络外围防火墙处阻止此端口将有助于保护位于防火墙后面的系统免受尝试利用此漏洞的尝试。这可以帮助保护网络免受源自企业外围的攻击。在企业范围内阻塞受影响的端口是帮助避免基于Internet的攻击的最佳防御方法。但是,系统仍可能容易受到企业范围内的攻击。

    4.  受影响版本

    适用于32位系统的Windows 10版本1903

    Windows 10 1903版(用于基于ARM64的系统)

    Windows 10 1903版(用于基于x64的系统)

    适用于32位系统的Windows 10版本1909

    Windows 10 1909版(用于基于ARM64的系统)

    Windows 10版本1909(用于基于x64的系统)

    Windows Server 1903版(服务器核心安装)

    Windows Server版本1909(服务器核心安装)