更新:补丁发布 | Microsoft Windows SMBv3.0服务远程代码执行漏洞(CVE-2020-0796)通告

Posted 奇安信威胁情报中心

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了更新:补丁发布 | Microsoft Windows SMBv3.0服务远程代码执行漏洞(CVE-2020-0796)通告相关的知识,希望对你有一定的参考价值。

文档信息

编号

QiAnXinTI-SV-2020-0008

关键字

SMB CVE-2020-0796

发布日期

20200311

更新日期

20200312

TLP

WHITE

分析团队

奇安信威胁情报中心


通告背景

2020311日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为CriticalSMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备,理论上存在蠕虫化的可能性。


由于漏洞存在的信息已经扩散,有迹象表明黑客团伙正在积极地研究漏洞细节尝试利用,构成潜在的安全威胁。奇安信息威胁情报中心红雨滴团队已经确认漏洞的存在,2020312日微软发布了相应的安全补丁,强烈建议用户立即安装补丁以免受此漏洞导致的风险。


漏洞概要

漏洞名称

Microsoft Windows SMBv3.0服务远程代码执行漏洞

威胁类型

远程代码执行

威胁等级

严重

漏洞ID

CVE-2020-0796

利用场景

攻击者可以通过发送特殊构造的数据包触发漏洞,无需用户验证就可能导致控制目标系统。

受影响系统及应用版本

Windows  10 Version 1903 for 32-bit Systems                                   

Windows  10 Version 1903 for ARM64-based Systems                     

Windows  10 Version 1903 for x64-based Systems                   

Windows  10 Version 1909 for 32-bit Systems                                   

Windows  10 Version 1909 for ARM64-based Systems                     

Windows  10 Version 1909 for x64-based Systems                   

Windows  Server, version 1903 (Server Core installation)       

Windows  Server, version 1909 (Server Core installation)       


漏洞描述

漏洞存在于WindowsSMBv3.0(文件共享与打印服务)中,目前技术细节暂不公布,对于漏洞的利用无需用户验证,通过构造恶意请求即可触发导致任意代码执行,系统受到非授权控制。


影响面评估

此漏洞主要影响SMBv3.0协议,目前支持该协议的设备包括Windows 8Windows 8.1Windows 10Windows Server 2012 Windows Server 2016,但是从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级,潜在威胁较大。


处置建议

修复方法

1.微软已经发布了此漏洞的安全补丁,访问如下链接:

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

 

2.如果暂时无法安装补丁,微软当前建议按如下临时解决方案处理:

  执行以下命令

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force 禁用SMB 3.0的压缩功能,是否使用需要结合自己业务进行判断。


参考资料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fblog.talosintelligence.com%2f2020%2f03%2fmicrosoft-patch-tuesday-march-2020.html&w=NrvF66m3pULMCOMEBw-cKyRUwi9s1qXv&d=928684983196

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

 

时间线

时间

事件

2020311

奇安信发布关于未有补丁的漏洞相关初始报告

2020312

奇安信发布关于漏洞补丁更新的信息更新

 


以上是关于更新:补丁发布 | Microsoft Windows SMBv3.0服务远程代码执行漏洞(CVE-2020-0796)通告的主要内容,如果未能解决你的问题,请参考以下文章

十全十美日,Microsoft针对12个严重漏洞发布软件更新

Exchange各个版本2019年第一个更新补丁已经发布

浅谈微软补丁安全更新公告

微软通过 Microsoft Store 释出安全补丁

安装程序无法验证是否已安装所需Microsoft更新KB2919355,如果存在此更新,请继续安装。

安全风险通告Microsoft SMBv3远程代码执行漏洞安全风险通告第三次更新