CVE-2020-0796:Microsoft SMBv3 遠程代碼執行漏洞通告
尊敬的客戶,你好:
2020年3月11日,有海外廠商發布安全通告,通告中描述了一處微軟SMBv3協議的內存破壞漏洞,CVE編號CVE-2020-0796,并表示該漏洞無需授權驗證即可被遠程利用,可能形成蠕蟲級漏洞,遠程攻擊者可以控制易受攻擊的系統,微軟官方也已發布通告。
目前,網上還沒公開可利用的POC。聯軟魔方SaaS平臺已經支持相關的漏洞檢測插件,請使用SaaS平臺的客戶,登錄平臺添加專項任務,檢測是否存在受影響資產。
檢測方法:登錄平臺--任務管理--系統掃描--添加任務,在插件檢測欄勾選【Windows SMBv3 緩沖區溢出漏洞(檢測)】插件。
漏洞情況分析
★漏洞概要
漏洞名稱:
Microsoft Windows SMBv3.0服務遠程代碼執行漏洞
威脅類型:遠程代碼執行
漏洞ID:CVE-2020-0796
威脅等級:嚴重
★受影響的系統及應用版本如下:
◆Windows 10 Version 1903 for 32-bit Systems
◆Windows 10 Version 1903 for ARM64-based Systems
◆Windows 10 Version 1903 for x64-based Systems
◆Windows 10 Version 1909 for 32-bit Systems
◆Windows 10 Version 1909 for ARM64-based Systems
◆Windows 10 Version 1909 for x64-based Systems
◆Windows Server, version 1903 (Server Core installation)
◆Windows Server, version 1909 (Server Core installation)
★漏洞描述
漏洞存在于Windows的SMBv3.0(文件共享與打印服務)中,目前技術細節暫不公布,對于漏洞的利用無需用戶驗證,通過構造惡意請求即可觸發導致任意代碼執行,系統受到非授權控制。
★影響面評估
此漏洞主要影響SMBv3.0協議,目前支持該協議的設備包括Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016,但是從微軟的通告來看受影響目標主要是Win10系統,考慮到相關設備的數量級龐大,潛在威脅較大。
漏洞修復方法
★更新補丁
微軟已經發布了此漏洞的安全補丁,訪問如下鏈接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
★
臨時解決方案
如果暫時無法安裝補丁,微軟當前建議按如下臨時解決方案處理,您可以使用以下PowerShell執行以下命令:
Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force
禁用SMB 3.0的壓縮功能,是否使用需要結合自己業務進行判斷。
★聯軟安全解決方案
一、緊急處理措施:
(1)注冊表修改
如果暫時無法安裝補丁,微軟當前建議按如下臨時解決方案處理:
您可以使用以下PowerShell執行以下命令:Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force 禁用SMB 3.0的壓縮功能。
部署聯軟UniAccess 終端安全管理系統的用戶,可統一下發注冊表修改策略,自動、批量實現注冊表的修改。
(2)入網安全檢查注冊表/補丁號
部署聯軟UniNAC網絡準入控制系統的用戶,針對此次漏洞,可在入網安全檢查規則中,增加對KB4551762的檢查,且要求更新安裝指定補丁后才允許入網,在網絡邊界構筑安全防護。
二、徹底修復措施
聯軟已更新微軟發布的修復補丁,企業安全管理員可采用聯軟UniAccess 終端安全管理系統的補丁管理模塊指定KB4551762進行批量更新。補丁分發后,提供補丁安裝詳細信息報表,核實補丁的安裝覆蓋以及是否真正生效。
三、如果擔心已經被入侵,可以使用聯軟UniNID網絡智能防御系統,實時發現針對該漏洞的攻擊行為。
參考鏈接:
1、https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
2、https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fblog.talosintelligence.com%2f2020%2f03%2fmicrosoft-patch-tuesday-march-2020.html&w=NrvF66m3pULMCOMEBw-cKyRUwi9s1qXv&d=928684983196
3、https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
深圳市聯軟科技股份有限公司
端點安全產品部
2020年3月13日