更多全球網絡安全資訊盡在邑安全

www.eansec.com

0x00 事件描述

2020年3月11日，360CERT監測到有海外廠家發布安全規則通告，通告中描述了一處微軟SMBv3協議的內存破壞漏洞，編號CVE-2020-0796，并表示該漏洞無需授權驗證即可被遠程利用，可能形成蠕蟲級漏洞。
漏洞等級：嚴重

該漏洞同時影響服務端和客戶端程序，影響所有 Windows 未安裝補丁用戶！！!

3月12日，微軟正式發布漏洞通告和相關補丁。

3月30日，360CERT監測到有國外的安全研究員在GitHub放出了漏洞本地利用代碼。

6月02日，研究人員公布遠程利用PoC代碼。公開的遠程利用將會把漏洞的危害擴展到最大化，360CERT建議用戶盡快進行修復。

0x01 風險等級

360CERT對該漏洞的評定結果如下

評定方式等級

威脅等級	嚴重
影響面	廣泛

0x02 漏洞詳情

微軟公告中描述如下[見參考鏈接1]：

漏洞是因為操作系統在處理SMB3中的壓縮數據包時存在錯誤處理。成功構造數據包的攻擊者可在遠程無驗證的條件下利用該漏洞執行任意代碼。

漏洞利用結果如圖：

0x03 影響范圍

• Windows 10 Version 1903 for 32-bit Systems

• Windows 10 Version 1903 for x64-based Systems

• Windows 10 Version 1903 for ARM64-based Systems

• Windows Server, version 1903 (Server Core installation)

• Windows 10 Version 1909 for 32-bit Systems

• Windows 10 Version 1909 for x64-based Systems

• Windows 10 Version 1909 for ARM64-based Systems

• Windows Server, version 1909 (Server Core installation)

0x04 修復建議

3月12日微軟正式發布漏洞通告和補丁方案

請在根據如下鏈接下載修復補丁進行修復

CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerabilityhttps://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

無法安裝更新的用戶可以選擇遵循微軟官方指南，停用 SMBv3 中的壓縮功能

powershell 中運行如下命令

# 停用
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
# 恢復
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

該修復對客戶端無效，請勿連接不信任的 SMB 服務器。以免遭受該漏洞影響。

360CERT建議通過安裝360安全衛士進行一鍵更新。http://weishi.360.cn/

應及時進行Microsoft Windows版本更新并且保持Windows自動更新開啟。

windows server / windows 檢測并開啟Windows自動更新流程如下

• 點擊開始菜單，在彈出的菜單中選擇“控制面板”進行下一步。

• 點擊控制面板頁面中的“系統和安全”，進入設置。

• 在彈出的新的界面中選擇“windows update”中的“啟用或禁用自動更新”。

• 然后進入設置窗口，展開下拉菜單項，選擇其中的自動安裝更新(推薦)。

0x05 相關空間測繪數據

360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪，發現 SMBv3 服務在全球均有廣泛使用。具體分布如下圖所示。

0x06 產品側解決方案

360安全衛士

針對本次事件，windows用戶可通過360安全衛士實現補丁安裝，其他平臺的用戶可以根據修復建議列表中的產品更新版本對存在漏洞的產品進行更新。

360城市級網絡安全監測服務

360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段，對該類 漏洞/事件 進行監測，請用戶聯系相關產品區域負責人獲取對應產品。

轉自360CERT

歡迎收藏并分享朋友圈，讓五邑人網絡更安全

歡迎掃描關注我們，及時了解最新安全動態、學習最潮流的安全姿勢！

推薦文章

1

新永恒之藍？微軟SMBv3高危漏洞(CVE-2020-0796)分析復現

2

重大漏洞預警：ubuntu最新版本存在本地提權漏洞(已有EXP)　

總結

以上是生活随笔為你收集整理的360更新补丁一直提示正在安装_远程利用POC公布|CVE20200796：微软发布SMBv3协议“蠕虫级”漏洞补丁通告...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。