首页 > 清静研究 > 清静转达 > 清静通告

微软SMBv3协议远程代码执行误差修复建议

宣布时间 2020-03-14

误差编号和级别

CVE编号：CVE-2020-0796，危险级别：严重，CVSS分值：官方未评定

影响版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)

误差概述

3月12日，微软更新清静通告针对Windows SMBv3客户端/服务器远程代码执行误差紧迫宣布了清静补丁，确定该误差编号为CVE-2020-0796。

Microsoft Server Message Block 3.1.1(SMBv3)协议在处置惩罚某些请求的方法中保存代码执行误差。攻击者可以全心结构数据包发送到SMB服务器，无需经由身份验证，即可在目的服务器上执行恣意代码。攻击者可通过安排一台恶意SMB v3服务器，并诱导用户（客户端）毗连到该服务器，一旦目的用户毗连，即可在盘算机上执行攻击者自界说的恶意代码。

由于上述误差易被蠕虫使用撒播恶意程序，推测可能在未来会成为恶意软件和攻击者普遍使用的误差，与2017年5月“永恒之蓝”误差较为相似。

误差检测

1. 系统版本检测

审查自己使用的Windows版本是否为受影响的版本，要领如下：

使用Win + R后输入“WinVer”审查目今操作系统的版本号。若是版本号显示为1903或1909，则证实受此误差影响，建议连忙装置补丁。

尊龙凯时·(中国区)人生就是搏!

2. 补丁检测

在受影响规模内的操作系统中，可执行以下下令审查补丁装置的情形。

systeminfo | findstr KB4551762

下令执行竣事后若是没有盘问到KB4551762补丁，则该系统保存清静危害。

3. 工具检测

此误差在网上已有果真的检测工具，履历证下列剧本可对SMB版本举行检测，相关用户

可自行选择下载使用。

Python检测剧本

下载链接：https://github.com/ollypwn/SMBGhost/blob/master/scanner.py

Nmap检测剧本(nse剧本)

下载链接：https://github.com/cyberstruggle/DeltaGroup/blob/master/CVE-2020-0796/CVE-2020-0796.nse

Powershell检测剧本

下载链接：https://github.com/T13nn3s/CVE-2020-0976/blob/master/CVE-2020-0796-Smbv3-checker.ps1

4. 产品检测

尊龙凯时天镜懦弱性扫描与治理系统V6.0产品已具备对此误差（CVE-2020-0796）的扫描检测能力，6070版本升级包为607000278，升级包下载地点：/article/type/1/146.html。

修复建议

微软官方已针对该误差宣布了清静补丁KB4551762，建议受影响用户开启系统自动更新装置该补丁举行防护。

注：由于网络问题、盘算机情形问题等缘故原由，Windows Update的补丁更新可能泛起失败。用户在装置补丁后，应实时检查补丁是否乐成更新。右键点击桌面左下角的Windows图标，选择“设置(N)”，选择“更新和清静”-“Windows更新”，审查该页面上的提醒信息，也可点击“审查更新历史纪录”审查历史更新情形，确认其中是否包括“KB4551762”

若泛起未乐成装置更新补丁的情形，可从官网下载离线装置包举行更新，下载链接如下：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

缓解步伐：

1．禁用SMBv3压缩

要领一：使用以下PowerShell下令禁用压缩功效，以阻止未经身份验证的攻击者使用SMBv3 服务器的误差。

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

用户可通过以下PowerShell下令作废禁用压缩功效

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

要领二：右键点击桌面左下角的Windows图标，在弹出菜单中选择“运行”菜单项，在弹出的运行框中输入regedit，翻开注册表编辑器。

在 “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”目录中添加一个DWORD类型的注册表项DisableCompression ，数值为1。

如需作废禁用SMBv3压缩功效，将该注册表项数值修改为0或删除注册表项即可。

注：使用以上要领举行更改后，无需重启即可生效；该要领仅可用来防护针对SMB服务器（SMB SERVER）的攻击，无法对SMB客户端（SMB Client）举行防护。

2. 设置防火墙战略

在界线防火墙做好清静战略阻止SMB通讯流出企业内部，详情可参考微软官方的指南：https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections。

3. 产品防护

针对此误差，尊龙凯时IDS、IPS、WAF、APT产品已宣布规则升级包，下载地点：/article/type/1/140.html。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

微软SMBv3协议远程代码执行误差修复建议

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线