近日,我中心获悉Microsoft WindowsSMBv3.0服务存在远程代码执行漏洞(CVE.2020・0796)。 攻击者可以利用此漏洞无需用户验证就远程发送构造特殊 的恶意数据,在目标系统上执行恶意代码,从而完全控制主 机。此漏洞主要影响支持SMBv3.0的设备,存在蠕虫化的可能性。现厂商已发布新版本完成漏洞修复。
由于漏洞存在的信息已扩散,有迹象表明黑客团伙正在积极地研究漏洞细节并尝试利用,构成潜在的安全威胁。我中心特此提醒,请各单位高度重视, 及时做好防范措施,防止系统因存在上述漏洞而遭受攻击并 导致敏感信息泄露。具体情况通报如下:
(一)漏洞描述
漏洞存在于Windows的SMBv3.0(文件共享与打印服务) 中,漏洞的利用无需用户验证,攻击者通过构造恶意请求即 可触发,导致任意代码执行,系统被非授权控制。我中心对 该漏洞的综合评级为“高危”。
(-)漏洞影响范围
该漏洞的影响版本如下:
Windows 10 Version 1903 for 32-bit Systems、
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
(三)漏洞处置建议
微软已发布此漏洞的安全补丁,链接如下:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
如果暂时无法安装补丁,微软建议按以下临时解决方案处理:
执行以下命令
Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlS et\Services\LanmanServer\ParametersnDisableCompression -Type DWORD -Value 1 -Force禁用SMB 3.0的压缩功能,是否使用需要结合自己业务进行判断。
附:参考链接:
https://portaLmsrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
https://cc.bingj.com/cache-aspx?q=https%3a%2f%2fblog.talosintelligence.com%2f2020%2fl)3%2fmicrosoft-patch-tuesday-mai#ch-2020.html&w=NrvF66in3pULMCOMEBw-cKyRUwi9slqXv&d=928684983196
https://portaLmsrc.microsoft.com/en-US/security-guidance/advisoiy/CVE-2020-0796
特此通报。