关于与“永恒之蓝”原理类似的SMBv3.0服务远程代码执行漏洞的风险提示

发布时间:2020-03-13浏览次数:5015

一、漏洞概述

 2020年3月10日,微软官方发布了针对Windows 10/Server禁用SMBv3(SMB 3.1.1版本)协议压缩的指南公告,以此缓解SMBv3协议(用于文件共享与打印服务)在处理调用请求时的一个远程代码执行漏洞(漏洞编号CVE-2020-0796)。SMBv3协议同时启用于SMB服务端和SMB客户端,未经身份验证的攻击者可以对服务端和客户端分别进行攻击,通过向受影响的SMBv3 服务器发送特制的压缩数据包来攻击服务端,还可以通过配置恶意 SMBv3 服务器并诱导用户连接来攻击客户端,攻击成功可在目标机器上执行任意代码。综合各方消息,该漏洞原理与“永恒之蓝”类似,存在被蠕虫化利用的可能。 

目前微软没有发布漏洞详情及补丁,但从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级,潜在威胁较大。

微软禁用SMBv3(SMB 3.1.1版本)协议压缩的指南公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005


二、影响范围

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems  

Windows 10 Version 1903 for x64-based Systems 

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems 

Windows 10 Version 1909 for x64-based Systems 

Windows Server, version 1903 (Server Core installation) 

Windows Server, version 1909 (Server Core installation)


三、处置建议

1.微软给出的临时缓解措施: 通过PowerShell命令禁用SMBv3压缩功能(是否使用需要结合业务进行判断),以阻止未经身份验证的恶意攻击者对SMBv3服务端的漏洞利用: Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters DisableCompression -Type DWORD -Value 1 -Force 执行此操作无需重启系统,但对SMBv3客户端无效,取消禁用可以执行以下命令: Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters DisableCompression -Type DWORD -Value 0 -Force 

2.若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/445); 

3.提醒全员保持良好办公习惯,不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染病毒; 

4.关注微软官方公告,及时升级官方补丁。


微软已紧急发布SMBv3.0漏洞补丁,建议使用1903和1909版本Windows 10系统的用户尽快打补丁。

方法一:通过系统自带Windows更新手动检查升级,方法二:手动下载补丁包并安装,下载地址:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762