SMBv3“蠕虫级”误差来袭鉴黑担保网提供解决计划！

宣布时间 2020-03-12

3月10日，，，，微软宣布清静通告（ADV200005）称在Microsoft Server Message Block 3.1.1 （SMBv3）协议中保存一个远程代码执行误差(CVE-2020-0796，，，，又称“CoronaBlue”或“SMB Ghost”)。。。。。。该误差是由SMBv3协议处置惩罚恶意压缩数据包时进入过失流程造成的，，，，远程未经身份验证的攻击者可以使用该误差造成目的主机系统瓦解、蓝屏甚至执行恣意代码。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

由于该误差可以直接用于远程攻击，，，，并且可以“蠕虫化”，，，，因此，，，，其危害水平类似于2017年的“永恒之蓝”误差。。。。。。但相较于“永恒之蓝”，，，，该误差影响的规模相对较小，，，，只限于Windows10以及Windows Server 的1903和1909版本，，，，详细影响的版本号如下：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

鉴黑担保网解决计划

一、禁用SMBv3压缩

虽然本误差影响的规模相对较小，，，，可是由于危害级别较高，，，，并且微软没有给出响应的误差补丁，，，，以是建议对受影响的操作系统使用以下缓解步伐禁用SMBv3的压缩功效来举行防护。。。。。。

首先审查自己使用的Windows版本是否为受影响的版本，，，，要领如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

使用Win + R后输入“WinVer”审查目今操作系统的版本号。。。。。。

若是确认系统受影响，，，，则建议使用以下PowerShell下令禁用压缩功效，，，，以阻止未经身份验证的攻击者使用SMBv3效劳器的误差（无需重新启动）。。。。。。

Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

二、产品解决计划

1、已安排鉴黑担保网IDS、IPS、WAF、APT产品的客户请确认如下事务规则已经下发并应用，，，，即可有用检测相关攻击： TCP_CVE-2020-0796误差使用。。。。。。

（1）天阗入侵检测与治理系统报警截图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

（2）天清入侵防御系统报警截图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

（3）天清Web应用清静网关报警截图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

（4）天阗高级一连性威胁检测与治理系统报警截图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2、鉴黑担保网天镜懦弱性扫描与治理系统V6.0于2020年3月12日紧迫宣布针对该误差的升级包，，，，支持对该误差举行检测，，，，用户升级天镜漏扫产品误差库后即可对该误差举行扫描。。。。。。6070版本升级包为607000278，，，，升级包下载地点：

/article/type/1/146.html

请天镜懦弱性扫描与治理系统V6.0产品的用户尽快升级到最新版本，，，，实时对该误差举行检测，，，，以便尽快接纳提防步伐。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

3、已安排泰合TSOC系列产品的企事业单位，，，，建议添加响应的规则一连对该行为举行监控。。。。。。

关联规则：L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796

说明：

“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”关联规则是规则嵌套的规则，，，，用于监测SMBv3误差【CVE-2020-0706】使用行为，，，，同时也监测批量445端口会见的行为。。。。。。

若接入TSOC平台的清静检测装备战略无升级、更新，，，，可以单独使用“L2_ADS_批量445端口会见”规则对445端口会见情形举行监控。。。。。。

注：“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则已包括“L2_ADS_批量445端口会见”，，，，直接导入“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则包，，，，无需单独设置“L2_ADS_批量445端口会见”。。。。。。

“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则条件：

事务=（日志类型！=“关联事务”）&（（装备类型属于（清静装备/清静防护网关、清静装备/web应用网关、清静装备/入侵检测、清静装备/清静防御、清静装备/防病毒系统、清静装备/恶意代码检测、清静装备/终端清静治理））&（目的端口=“445”）&（引用过滤器=“CVE20200796_清静装备”））|（引用规则=“L2_ADS_批量445端口会见”）

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

“CVE20200796_清静装备”过滤器条件：

事务=（日志类型！=“关联事务”）&（（事务名称包括 “Corona” ）&（事务名称包括 “Blue”）&（事务名称包括 “误差”））|(（事务名称包括 “CVE-2020-0796” ）)|(（事务名称包括 “SMBv3” ）&（（（事务名称包括 “误差” ）|（事务名称包括 “毗连” ）））)

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

“L2_ADS_批量445端口会见”规则条件：

事务=（日志类型！=“关联事务”）&（目的端口=“445”）

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

“L2_ADS_批量445端口会见”次数设置：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

关于鉴黑担保网

SMBv3“蠕虫级”误差来袭鉴黑担保网提供解决计划！

关于鉴黑担保网

解决计划

清静研究

联系鉴黑担保网

7*24小时效劳热线

软件升级

投资者关系

关于鉴黑担保网

SMBv3“蠕虫级”误差来袭 鉴黑担保网提供解决计划！

7*24小时效劳热线

SMBv3“蠕虫级”误差来袭鉴黑担保网提供解决计划！