微软SMB3协议远程利用0day漏洞 - CVE-2020-0796

  • 内容
  • 相关

0x01漏洞描述

CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。
Fortinet公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。”
思科Talos博客文章也给出了类似描述,不过随后将其删除。

思科指出,“利用该漏洞可导致系统遭蠕虫攻击,也就是说漏洞可轻易地在受害者之间传播。”

0x02漏洞编号

CVE-2020-0796

0x03漏洞等级

严重

0x04影响范围

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)

0x05漏洞验证

暂无poc/exp

0x06修复建议

目前微软没有发布漏洞详情及补丁。
缓解措施:

1.禁用SMbv3 compression。

禁用SMbv3 compression 可以在 SMBv3 Server 的 Powe rshell 中执行如下代码
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Pa rameters" DisableCompression -Type DWORD -Value 1 -Force
进行更改后,无需重新启动。此解决方法不能防止利用 SMB 客户端。;

2.若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/ 445);

3.安装杀毒软件,不接收和点击来历不明的文件、邮件附件,并做好数据备份工作, 防止感染勒索病毒。

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:微软SMB3协议远程利用0day漏洞 - CVE-2020-0796 - https://www.shungg.cn/post/292

发表评论

电子邮件地址不会被公开。 必填项已用*标注