835 由于安全层无法对远程计算机进行身份验证_微软SMBv3协议远程代码执行（永恒之黑CVE20200796）...

关于永恒之黑(CVE-2020-0796)的安全通报

(2020 年6 月)

一、漏洞描述

近日，微软发布了SMBv3协议远程代码执行漏洞，国外研究员在近日放出了该漏洞的 POC ，黑客可以利用漏洞验证工具POC对此漏洞进行复现，漏洞影响范围扩大。

二、漏洞危害

危害等级高，攻击者利用此漏洞，可造成远程代码执行。

MicrosoftServer Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞。攻击者可以精心构造数据包发送到SMB服务器，无需经过身份验证，即可在目标服务器上执行任意代码。攻击者可通过部署一台恶意SMB v3服务器，并诱导用户(客户端)连接到该服务器，一旦目标用户连接，即可在计算机上执行攻击者自定义的恶意代码。

由于上述漏洞与WannaCry(2017年5月“永恒之蓝”)漏洞较为相似，易被蠕虫利用传播恶意程序，可能会成为恶意软件和攻击者广泛利用的漏洞。

三、影响范围

 受影响版本

Windows10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

 不受影响版本

    只影响Windows 10 1903之后的各个32位、64位版Windows，其他不受影响。

四、漏洞检测

 版本检测

相关用户可通过版本检测的方法判断当前应用是否存在风险。

检查是否使用1903或1909操作系统版本：

1. 右键点击左下角Windows图标，选择“设置”；

2. 点击“系统”，选择左侧的“关于”选项卡；

3. 查看“Windows规格”中的“版本号”，如果版本号显示为1903或1909，则证明受此漏洞影响，建议立即安装补丁。

 补丁检测

在受影响范围内的操作系统中，可执行以下命令查看补丁安装的情况。

打开CMD，执行：systeminfo | findstr KB4551762

命令执行结束后如果没有查询到KB4551762补丁，则该系统存在安全风险。

五、修复建议

 安全建议

微软官方已针对该漏洞发布了安全补丁KB4551762，建议受影响用户开启系统自动更新安装该补丁进行防护。 

注：由于网络问题、计算机环境问题等原因，Windows Update的补丁更新可能出现失败。用户在安装补丁后，应及时检查补丁是否成功更新。右键点击桌面左下角的Windows图标，选择“设置(N)”，选择“更新和安全”-“Windows更新”，查看该页面上的提示信息，也可点击“查看更新历史记录”查看历史更新情况，确认其中是否包含“KB4551762”。

若出现未成功安装更新补丁的情况，可从官网下载离线安装包进行更新，下载链接如下： 

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

附：参考链接：

http://blog.nsfocus.net/poc-smbv3-0603/

联系我们：潘伟

邮箱：panwei@dingxinsec.com.cn

Henan DingXin Information Security

Service Co.,Ltd

河南鼎信信息安全等级测评有限公司

地址：郑州市郑东新区七里河南路75号意中大厦18层

电话：18603856066邮编：450001