微软SMB3协议远程使用0day误差危害通告

宣布时间 2020-03-11

误差编号和级别


CVE编号:CVE-2020-0796,危险级别:严重,CVSS分值:官方未评定


影响版本


Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)


误差概述


CVE-2020-0796 是保存于微软服务器SMB协议中的一个“蠕虫化”误差,该误差未包括在微软本月宣布的补丁中,是在补丁的序言中泄露的 。现在微软尚未宣布任何手艺详情,思科 Talos 团队和 Fortinet 公司提供了简短概述,现在尚不清晰该误差的补丁何时宣布 。


Fortinet 公司指出,该误差是“微软 SMB 服务器中的一个缓冲区溢出误差”,严重品级为最高评分,“该误差由易受攻击的软件过失地处置惩罚恶意结构的压缩数据包而触发 。远程、未经认证的攻击者可使用该误差在该应用程序的上下文中执行恣意代码 。”


思科 Talos 博客文章也给出了类似形貌,不过随后将其删除 。思科指出,“使用该误差可导致系统遭蠕虫攻击,也就是说误差可容易地在受害者之间撒播 。”


误差验证


暂无PoC/EXP 。


修复建议


现在微软没有宣布误差详情及补丁 。


缓解步伐:

1. 禁用SMbv3 compression 。禁用SMbv3 compression 可以在SMBv3 Server的Powershell中执行如下代码

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

举行更改后,无需重新启动 。此解决要领不可避免使用SMB客户端 。;

2. 若无营业须要,在网络清静域界线防火墙封堵文件打印和共享端口(tcp:135/139/445);

3. 装置杀毒软件,不吸收和点击泉源不明的文件、邮件附件,并做好数据备份事情,避免熏染勒索病毒 。


参考链接


https://fortiguard.com/encyclopedia/ips/48773