微軟SMBv3遠程代碼執行漏洞(CVE-2020-0796)
1、漏洞描述
微軟SMBv3遠程代碼執行漏洞(SMB 3.1.1協議中處理壓縮消息時,對其中數據沒有經過安全檢查,直接使用會引發內存破壞漏洞,可能被攻擊者利用遠程執行任意代碼)可被攻擊者利用,實現無須權限即可執行遠程代碼,受攻擊的目標系統只需開機在線即可能被入侵。該漏洞後果十分接近永恆之藍系列,存在被WannaCry等勒索蠕蟲利用的可能,攻擊者可以構造特定的網頁、壓縮包、共享目錄、Offic文檔等多種方式觸發漏洞進行攻擊,對存在該漏洞的Windows主機造成嚴重威脅。
2、影響範圍
該漏洞不影響Windows7,漏洞影響Windows10 1903之後的32位、64位Windows版本,包括家用版、專業版、企業版、教育版。具體列表如下:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)
3、漏洞類型
遠程代碼執行
4、漏洞等級
高危
5、環境搭建
在虛擬機中搭建Windows 10 1909系統來進行復現。
6、藍屏復現
通過Python執行POC腳本進行攻擊Windows 10。
視頻演示:https://www.bilibili.com/video/av97457537/
POC下載鏈接:https://download.csdn.net/download/ltt440888/12255558
7、防護方案
1)直接運行Windows更新,完成Windows10 2020年3月累積更新補丁的安裝。
操作步驟:設置->更新和安全->Windows更新,點擊“檢查更新”。
2)也可以訪問微軟該漏洞官方頁面(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796),選擇相應Windows版本的安全更新,獨立安裝該漏洞安全補丁。
3)也可以通過手動修改註冊表,防止被黑客遠程攻擊:
管理員模式啓動PowerShell,將以下命令複製到Powershell命令行,執行即可
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
若無業務必要,在網絡安全域邊界防火牆封堵文件打印和共享端口(tcp:135/139/ 445);
4)也可以通過安全廠商的漏洞檢驗和修復工具來檢查是否存在漏洞和進行漏洞修復。
詳細漏洞信息與措施,請參考此處https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005