威尼斯手机娱乐官网,澳门威斯尼人平台

威尼斯手机娱乐官网

关于与“永恒之蓝”原理类似的SMBv3.0服务远程代码执行漏洞的风险提示

发布时间:2020-03-20

一、漏洞概述

2020年3月10日,微软官方发布了针对Windows 10/Server禁用SMBv3(SMB 3.1.1版本)协议压缩的指南公告,以此缓解SMBv3协议(用于文件共享与打印服务)在处理调用请求时的一个远程代码执行漏洞(漏洞编号CVE-2020-0796)。SMBv3协议同时启用于SMB服务端和SMB客户端,未经身份验证的攻击者可以对服务端和客户端分别进行攻击,通过向受影响的SMBv3 服务器发送特制的压缩数据包来攻击服务端,还可以通过配置恶意 SMBv3 服务器并诱导用户连接来攻击客户端,攻击成功可在目标机器上执行任意代码。综合各方消息,该漏洞原理与“永恒之蓝”类似,存在被蠕虫化利用的可能。

目前微软没有发布漏洞详情及补丁,但从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级,潜在威胁较大。

微软禁用SMBv3(SMB 3.1.1版本)协议压缩的指南公告:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

二、影响范围

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

三、建议

1.微软给出的临时缓解措施: 通过PowerShell命令禁用SMBv3压缩功能(是否使用需要结合业务进行判断),以阻止未经身份验证的恶意攻击者对SMBv3服务端的漏洞利用:

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters' DisableCompression -Type DWORD -Value 1 -Force

执行此操作无需重启系统,但对SMBv3客户端无效,取消禁用可以执行以下命令:

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters' DisableCompression -Type DWORD -Value 0 -Force

2.若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/445);

3.提醒全员保持良好办公习惯,不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染病毒;

4.关注微软官方公告,及时升级官方补丁。

版权所有 © 皖西学院威尼斯手机娱乐官网与管理中心

Baidu
sogou