Microsoft Windows 和 Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统,Microsoft Windows Server是一套服务器操作系统,Server Message Block是其中的一个服务器信息传输协议。
2020年3月10日,微软发布安全公告,其中包括一个Windows SMBv3 远程代码执行漏洞(CVE-2020-0796)。该漏洞源于SMBv3协议在处理恶意压缩数据包时,进入了错误流程。远程未经身份验证的攻击者可利用该漏洞在应用程序中执行任意代码。
2020年6月2日,国外安全研究员公开了CVE-2020-0796(别名:SMBGhost)漏洞的RCE代码,攻击者可能基于此POC构造导致蠕虫式传播的武器化工具,无需用户交互即可控制目标系统,此前已公开的PoC是可导致受影响的系统蓝屏。
处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796
临时措施:
· 可使用注册表禁用 SMBv3 的 compression,命令如下:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
· 建议关闭 SMB 服务端口,禁用 139 和 445 端口。