首页 > 安全钻研 > 安全传递 > 安全公告

微软SMB3和谈远程利用0day缝隙风险公告

颁布功夫 2020-03-11

缝隙编号和级别

CVE编号：CVE-2020-0796，，，，，，危险级别：严沉，，，，，，CVSS分值：官方未评定

影响版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)

缝隙概述

CVE-2020-0796 是存在于微软服务器SMB和谈中的一个“蠕虫化”缝隙，，，，，，该缝隙未蕴含在微软本月颁布的补丁中，，，，，，是在补丁的序言中泄露的。。。。。。目前微软尚未颁布任何技术详情，，，，，，思科 Talos 团队和 Fortinet 公司提供了简短概述，，，，，，目前尚不明显该缝隙的补丁何时颁布。。。。。。

Fortinet 公司指出，，，，，，该缝隙是“微软 SMB 服务器中的一个缓冲区溢露马脚”，，，，，，严沉等级为最高评分，，，，，，“该缝隙由易受攻击的软件谬误地处置恶意机关的压缩数据包而触发。。。。。。远程、未经认证的攻击者可利用该缝隙在该利用法式的高低文中执行肆意代码。。。。。。”

思科 Talos 博客文章也给出了类似描述，，，，，，不外随后将其删除。。。。。。思科指出，，，，，，“利用该缝隙可导致系统遭蠕虫攻击，，，，，，也就是说缝隙可等闲地在受害者之间传布。。。。。。”

缝隙验证

暂无PoC/EXP。。。。。。

建复建议

目前微软没有颁布缝隙详情及补丁。。。。。。

缓解措施：

1. 禁用SMbv3 compression。。。。。。禁用SMbv3 compression 能够在SMBv3 Server的Powershell中执行如下代码

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

进行更改后，，，，，，无需沉新启动。。。。。。此解决步骤不能预防利用SMB客户端。。。。。。；；；；；

2. 若无业务必要，，，，，，在网络安全域天堑防火墙封堵文件打印和共享端口（tcp:135/139/445）；；；；；

3. 装置杀毒软件，，，，，，不接管和点击来历不明的文件、邮件附件，，，，，，并做好数据备份工作，，，，，，预防习染勒索病毒。。。。。。

参考链接

https://fortiguard.com/encyclopedia/ips/48773

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

微软SMB3和谈远程利用0day缝隙风险公告

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线