关于防范Microsoft Windows SMBv3远程代码执行漏洞的风险提示

Posted 2021-04-01 山西互联网应急中心

近日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Windows SMBv3远程代码执行漏洞（CNVD-2020-16676，对应CVE-2020-0796）。攻击者利用该漏洞无须权限即可实现远程代码执行。

一、漏洞情况分析

SMB（Server MessageBlock）协议作为一种局域网文件共享传输协议，常被用来作为共享文件安全传输研究的平台。由于SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码，受黑客攻击的目标系统只要开机在线即可能被入侵。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

此次漏洞影响范围较广，凡在网络中采用Windows 10 1903版本之后的所有终端节点，如Windows家用版、专业版、企业版、教育版，Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标，Windows 7不受影响。

漏洞影响的产品版本包括：

Windows10 Version 1903 32-bit

Windows 10 Version 1903 x64

Windows10 Version 1903 ARM64

WindowsServer, version 1903（系统核心）

Windows10 Version 1909 32-bit

Windows10 Version 1909 x64

Windows10 Version 1909 ARM64

WindowsServer, version 1909（系统核心）

三、漏洞处置建议

1.不接收和点击来历不明的文件、邮件附件，并做好数据备份工作，防止感染勒索病毒；

2.若无业务必要，暂时关闭445端口；

3.若无业务必要，暂时禁用SMBv3服务的压缩；

4.目前，微软已经公布补丁更新，建议各单位、个人用户在确保安全的前提下，尽快下载补丁更新，避免引发漏洞相关的网络安全事件。