【漏洞通告】微软SMBv3协议远程代码执行漏洞(CVE-2020-0796)通告
【漏洞通告】微软SMBv3协议远程代码执行漏洞(CVE-2020-0796)通告
原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)😉 今天
通告编号:NS-2020-0017
2020-03-11
TAG: | SMBv3、远程代码执行、CVE-2020-0796 |
---|---|
漏洞危害: | 攻击者利用此漏洞,****可实现远程代码执行。 |
版本: | 1.0 |
1
漏洞概述
3月10日,微软发布安全通告称Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞,未经身份验证的攻击者发送精心构造的数据包进行攻击,可在目标SMB服务器上执行任意代码。
绿盟科技监测到有国外厂商针对该漏洞发布了安全防护规则,并确定漏洞编号为CVE-2020-0796,微软官方暂未发布修复补丁,请相关用户关注并采取防护措施。
参考链接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005
https://fortiguard.com/encyclopedia/ips/48773
SEE MORE →
2影响范围
受影响版本
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
3漏洞防护
3.1 防护建议
目前微软暂未针对该漏洞发布安全补丁,请相关用户持续关注官方动态:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005
受影响用户可通过下列措施进行防护:
方法一:禁用SMBv3压缩
使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
用户可通过以下PowerShell命令撤销禁用压缩功能
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force
注:利用以上命令进行更改后,无需重启即可生效;该方法仅可用来防护针对SMB服务器(SMB SERVER)的攻击,无法对SMB客户端(SMB Client)进行防护。
方法二:设置防火墙策略
在边界防火墙做好安全策略阻止SMB通信流出企业内部,详情可参考微软官方的指南:
https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections
转载自https://mp.weixin.qq.com/s/yM9FpXswgK_iDVLPrPv9iw
- 点赞 5
- 收藏
- 分享
- 文章举报
- 【漏洞通告】微软SMBv3协议远程代码执行漏洞(CVE-2020-0796)处置手册
- 更新:远程无损扫描工具公开发布| 微软Windows SMBv3服务远程代码执行漏洞(CVE-2020-0796)通告
- 【漏洞通告】Weblogic 反序列化远程代码执行高危漏洞 (CVE-2018-2628)
- 【更新】CVE-2020-0796:微软紧急发布SMBv3协议“蠕虫级”漏洞补丁通告
- 微软紧急发布Type 1字体解析远程代码执行漏洞通告
- CVE-2020-0796:SMBv3中蠕虫级别的漏洞
- Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)
- CVE-2020-1938:Apache Tomcat AJP连接器远程执行代码漏洞警报
- Microsoft远程桌面协议RDP远程代码执行导致系统蓝屏漏洞编号CVE-2012-0002(MS12-020)
- 【漏洞公告】CVE-2017-8464 :Microsoft Windows LNK 远程代码执行漏洞
- IIS_CVE-2017-7269 IIS6.0远程代码执行漏洞复现
- IIS 6.0曝远程代码执行漏洞CVE-2017-7269
- 漏洞到来:CVE-2017-8620:Windows Search远程代码执行漏洞
- CVE-2012-0003 Microsoft Windows Media Player ‘winmm.dll’ MIDI文件解析远程代码执行漏洞 分析
- CVE-2012-1876Microsoft Internet Explorer Col元素远程代码执行漏洞分析
- Node.js 反序列化漏洞远程执行代码(CVE-2017-5941)
- Web Weblogic wls9-async反序列化远程代码执行漏洞(CVE-2019-2725)
- s2——053远程代码执行漏洞(CVE-2017-1000112)
- iis6.0远程代码执行漏洞复现(CVE-2017-7269)
- WinRAR远程代码执行漏洞复现(CVE-2018-20250)