首页 >> 关于我们 >> 新闻动态

CVE-2020-0796:Microsoft SMBv3 远程代码执行漏洞通告

联软科技
2022年11月14日

尊敬的客户,你好:

 

2020年3月11日,有海外厂商发布安全通告,通告中描述了一处微软SMBv3协议的内存破坏漏洞,CVE编号CVE-2020-0796,并表示该漏洞无需授权验证即可被远程利用,可能形成蠕虫级漏洞,远程攻击者可以控制易受攻击的系统,微软官方也已发布通告。

目前,网上还没公开可利用的POC。联软魔方SaaS平台已经支持相关的漏洞检测插件,请使用SaaS平台的客户,登录平台添加专项任务,检测是否存在受影响资产

检测方法:登录平台--任务管理--系统扫描--添加任务,在插件检测栏勾选【Windows SMBv3 缓冲区溢出漏洞(检测)】插件。

 

 

漏洞情况分析

 

漏洞概要

 

漏洞名称

Microsoft Windows SMBv3.0服务远程代码执行漏洞

威胁类型:远程代码执行

漏洞ID:CVE-2020-0796

威胁等级:严重

 

受影响的系统及应用版本如下:

Windows 10 Version 1903 for 32-bit Systems

◆Windows 10 Version 1903 for ARM64-based Systems

◆Windows 10 Version 1903 for x64-based Systems

◆Windows 10 Version 1909 for 32-bit Systems

◆Windows 10 Version 1909 for ARM64-based Systems

◆Windows 10 Version 1909 for x64-based Systems

◆Windows Server, version 1903 (Server Core installation)

◆Windows Server, version 1909 (Server Core installation)

 

 

漏洞描述

 

漏洞存在于Windows的SMBv3.0(文件共享与打印服务)中,目前技术细节暂不公布,对于漏洞的利用无需用户验证,通过构造恶意请求即可触发导致任意代码执行,系统受到非授权控制。

 

影响面评估

 

此漏洞主要影响SMBv3.0协议,目前支持该协议的设备包括Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016,但是从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级庞大,潜在威胁较大。

 

漏洞修复方法

 

更新补丁

 

微软已经发布了此漏洞的安全补丁,访问如下链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

 

临时解决方案

 

如果暂时无法安装补丁,微软当前建议按如下临时解决方案处理,您可以使用以下PowerShell执行以下命令:

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force

禁用SMB 3.0的压缩功能,是否使用需要结合自己业务进行判断。

 

联软安全解决方案

 

一、紧急处理措施:

 

(1)注册表修改

如果暂时无法安装补丁,微软当前建议按如下临时解决方案处理:

您可以使用以下PowerShell执行以下命令:Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force 禁用SMB 3.0的压缩功能。

 

部署联软UniAccess 终端安全管理系统的用户,可统一下发注册表修改策略,自动、批量实现注册表的修改。

 

 

(2)入网安全检查注册表/补丁号

部署联软UniNAC网络准入控制系统的用户,针对此次漏洞,可在入网安全检查规则中,增加对KB4551762的检查,且要求更新安装指定补丁后才允许入网,在网络边界构筑安全防护。


 

 

二、彻底修复措施

 

联软已更新微软发布的修复补丁,企业安全管理员可采用联软UniAccess 终端安全管理系统的补丁管理模块指定KB4551762进行批量更新。补丁分发后,提供补丁安装详细信息报表,核实补丁的安装覆盖以及是否真正生效。


 

三、如果担心已经被入侵,可以使用联软UniNID网络智能防御系统,实时发现针对该漏洞的攻击行为

 

 

参考链接:

1、https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

 

2、https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fblog.talosintelligence.com%2f2020%2f03%2fmicrosoft-patch-tuesday-march-2020.html&w=NrvF66m3pULMCOMEBw-cKyRUwi9s1qXv&d=928684983196

 

3、https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

 

 

深圳市联软科技股份有限公司

端点安全产品部

2020年3月13日

 

 

 

最新动态

  • 再突破!联软中标某大型乳业公司桌面安全管理系统建设采购项目

  • 开放协同 共筑网安新生态| 资本市场金融科技2024年度创新交流会网络安全专题研讨会圆满举行

热门推荐