您的位置:首页 > 编程语言

【漏洞通告】微软SMBv3协议远程代码执行漏洞(CVE-2020-0796)通告

2020-03-30 18:33 731 查看

【漏洞通告】微软SMBv3协议远程代码执行漏洞(CVE-2020-0796)通告

原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)😉 今天

通告编号:NS-2020-0017

2020-03-11

TAG: SMBv3、远程代码执行、CVE-2020-0796
漏洞危害: 攻击者利用此漏洞,****可实现远程代码执行。
版本: 1.0

1

漏洞概述

3月10日,微软发布安全通告称Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞,未经身份验证的攻击者发送精心构造的数据包进行攻击,可在目标SMB服务器上执行任意代码。

绿盟科技监测到有国外厂商针对该漏洞发布了安全防护规则,并确定漏洞编号为CVE-2020-0796,微软官方暂未发布修复补丁,请相关用户关注并采取防护措施。

参考链接:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005

https://fortiguard.com/encyclopedia/ips/48773

SEE MORE →

2影响范围

受影响版本

  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)

3漏洞防护

3.1 防护建议

目前微软暂未针对该漏洞发布安全补丁,请相关用户持续关注官方动态:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005

受影响用户可通过下列措施进行防护:

方法一:禁用SMBv3压缩

使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

用户可通过以下PowerShell命令撤销禁用压缩功能

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force

注:利用以上命令进行更改后,无需重启即可生效;该方法仅可用来防护针对SMB服务器(SMB SERVER)的攻击,无法对SMB客户端(SMB Client)进行防护。

方法二:设置防火墙策略

在边界防火墙做好安全策略阻止SMB通信流出企业内部,详情可参考微软官方的指南:

https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections


转载自https://mp.weixin.qq.com/s/yM9FpXswgK_iDVLPrPv9iw

  • 点赞 5
  • 收藏
  • 分享
  • 文章举报
admin-root 发布了111 篇原创文章 · 获赞 1250 · 访问量 19万+ 私信 关注
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航