研究人员公布了 SMBv3 协议远程代码执行漏洞(CVE-2020-0796)远程利用的 PoC 代码,极大地增加了该漏洞的潜在危害,建议还未修复漏洞的用户尽快采取措施进行防护。
Microsoft Server Message Block 3.1.1(SMBv3) 协议在处理某些请求的方式中存在代码执行漏洞。攻击者可以精心构造数据包发送到SMB服务器,无需经过身份验证,即可在目标服务器上执行任意代码。攻击者可通过部署一台恶意 SMB v3 服务器,并诱导用户(客户端)连接到该服务器,一旦目标用户连接,即可在计算机上执行攻击者自定义的恶意代码。由于上述漏洞与 WannaCry(2017 年 5 月“永恒之蓝”)漏洞较为相似,易被蠕虫利用传播恶意程序,可能会成为恶意软件和攻击者广泛利用的漏洞。
【风险评级】
NVD 评分 10.0(最高级别)
【影响范围】
漏洞影响以下操作系统版本:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
【修复建议】
该漏洞可以通过更新安全补丁、关闭相关端口或禁用 SMBv3 压缩等方式进行修复(任选其一即可)。具体说明如下:
-
微软官方针对该漏洞发布了安全补丁 KB4551762,建议受影响用户开启系统自动更新安装该补丁进行防护。(推荐)
注:由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。右键点击桌面左下角的Windows图标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况,确认其中是否包含“KB4551762”。
若出现未成功安装更新补丁的情况,可从官网下载离线安装包进行更新,下载链接如下: https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
-
关闭 139 端口和 445 端口,在 Windows Defender 防火墙的高级设置中新建入站规则,详情可参考微软官方的指南:https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections。
-
在边界防火墙做好安全策略,禁止 139 和 445 端口对外部开放,详情可参考微软官方的指南:https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections。
-
禁用 SMBv3 压缩,您可以使用以下 PowerShell 命令禁用 SMBv3 服务的压缩功能:
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 –Force