CVE-2020-0796蓝屏POC 漏洞复现

微软SMBv3远程代码执行漏洞（CVE-2020-0796）

1、漏洞描述

          微软SMBv3远程代码执行漏洞（SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码）可被攻击者利用，实现无须权限即可执行远程代码，受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列，存在被WannaCry等勒索蠕虫利用的可能，攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击，对存在该漏洞的Windows主机造成严重威胁。

2、影响范围

         该漏洞不影响Windows7，漏洞影响Windows10 1903之后的32位、64位Windows版本，包括家用版、专业版、企业版、教育版。具体列表如下：

        Windows 10 Version 1903 for 32-bit Systems

        Windows 10 Version 1903 for x64-based Systems

        Windows 10 Version 1903 for ARM64-based Systems

        Windows Server, Version 1903 (Server Core installation)

        Windows 10 Version 1909 for 32-bit Systems

        Windows 10 Version 1909 for x64-based Systems

        Windows 10 Version 1909 for ARM64-based Systems

        Windows Server, Version 1909 (Server Core installation)

3、漏洞类型

        远程代码执行

4、漏洞等级

        高危

5、环境搭建

      在虚拟机中搭建Windows 10 1909系统来进行复现。

6、蓝屏复现

      通过Python执行POC脚本进行攻击Windows 10。

      视频演示：https://www.bilibili.com/video/av97457537/

      POC下载链接：https://download.csdn.net/download/ltt440888/12255558

7、防护方案

       1）直接运行Windows更新，完成Windows10 2020年3月累积更新补丁的安装。

       操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

       2）也可以访问微软该漏洞官方页面（https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796），选择相应Windows版本的安全更新，独立安装该漏洞安全补丁。

       3）也可以通过手动修改注册表，防止被黑客远程攻击：

        管理员模式启动PowerShell，将以下命令复制到Powershell命令行，执行即可

        Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

        若无业务必要，在网络安全域边界防火墙封堵文件打印和共享端口（tcp:135/139/ 445）；

       4）也可以通过安全厂商的漏洞检验和修复工具来检查是否存在漏洞和进行漏洞修复。

        详细漏洞信息与措施，请参考此处https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005