首页 > 清静研究 > 清静转达 > 清静通告

微软SMB3协议远程使用0day误差危害通告

宣布时间 2020-03-11

误差编号和级别

CVE编号：CVE-2020-0796，，，，危险级别：严重，，，，CVSS分值：官方未评定

影响版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)

误差概述

CVE-2020-0796 是保存于微软效劳器SMB协议中的一个“蠕虫化”误差，，，，该误差未包括在微软本月宣布的补丁中，，，，是在补丁的序言中泄露的。。。现在微软尚未宣布任何手艺详情，，，，思科 Talos 团队和 Fortinet 公司提供了简短概述，，，，现在尚不清晰该误差的补丁何时宣布。。。

Fortinet 公司指出，，，，该误差是“微软 SMB 效劳器中的一个缓冲区溢出误差”，，，，严重品级为最高评分，，，，“该误差由易受攻击的软件过失地处置惩罚恶意结构的压缩数据包而触发。。。远程、未经认证的攻击者可使用该误差在该应用程序的上下文中执行恣意代码。。。”

思科 Talos 博客文章也给出了类似形貌，，，，不过随后将其删除。。。思科指出，，，，“使用该误差可导致系统遭蠕虫攻击，，，，也就是说误差可容易地在受害者之间撒播。。。”

误差验证

暂无PoC/EXP。。。

修复建议

现在微软没有宣布误差详情及补丁。。。

缓解步伐：

1. 禁用SMbv3 compression。。。禁用SMbv3 compression 可以在SMBv3 Server的Powershell中执行如下代码

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

举行更改后，，，，无需重新启动。。。此解决要领不可避免使用SMB客户端。。。；；；；；；；

2. 若无营业须要，，，，在网络清静域界线防火墙封堵文件打印和共享端口（tcp:135/139/445）；；；；；；；

3. 装置杀毒软件，，，，不吸收和点击泉源不明的文件、邮件附件，，，，并做好数据备份事情，，，，避免熏染勒索病毒。。。

参考链接

https://fortiguard.com/encyclopedia/ips/48773

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

微软SMB3协议远程使用0day误差危害通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线