2020年3月10日,微软官方发布一条安全警报(ADV200005),称发现Windows系统中存在一个远程代码执行漏洞(即CVE-2020- 0796),该漏洞发生于Windows系统在处理SMBv3协议的某些特殊请求时,利用该漏洞可以在目标SMB服务器或SMB客户端上执行任意代码。
01
CVE-2020-0796漏洞的危害
该漏洞类似“永恒之蓝”的蠕虫级高危漏洞。利用该漏洞,黑客可直接远程攻击SMB服务端远程执行任意恶意代码,亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。
受此影响的Windous版本如下:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
除以上版本,其他系统比如WinXP/Windous7等不会受到影响。
查看你的系统版本方法是:
键盘同时按住“Windous+R”键,在弹出运行窗口输入“einver”命令,即可查看具体系统版本号。
02
CVE-2020-0796漏洞的原理
SMB是Microsoft服务器消息块(SMB)协议,是一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于计算机间共享文件、打印机等。
Windows10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。
北京铠撒提醒各电力企业,若安装有WINDOWS10的终端系统以及WINDOWS SERVER服务器系统,请及时检测该漏洞,并按照下文治理方法及时处理。
03
铠撒解决方案
(1) 如果是windows 10,您可以禁止SMB压缩功能,方法如下:
a. 通过手动修改注册表,防止被黑客远程攻击:
运行regedit.exe,打开注册表编辑器。
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。
b. 暂时禁用SMBv3压缩功能的方法:
使用管理员身份启动PowerShell,复制以下命令执行。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
(如命令无法运行,请检查空格位置是否输入正确Set-ItemProperty空格-Path空格"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"空格DisableCompression空格-Type空格DWORD空格-Value空格1空格-Force)
在防火墙中关闭445端口,方法如下:
win键+R弹出运行对话框,输入firewall.cpl命令打开防火墙配置
入站规则—新建规则—特定端口—445—TCP—阻止联接
(2) 如果是WINDOWS SERVER,方法如下:
下载对应版本安全补丁进行更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
详情到此官方网站查询:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
安全源于未雨绸缪保障贵在风雨同舟- END -
记得点击右下角的在看”,我们将一如既往提供优质服务!
推荐