Windows SMBv3 0天漏洞CVE-2020-0796

　　Windows SMBv3 0天漏洞CVE-2020-0796

　　Windows中的SMBv3网络协议存在一个严重但未修补的漏洞。这可能允许蠕虫传播，但目前尚未被利用。Microsoft昨天在安全通报中提供了该信息。

　　我收到了来自Microsoft的第一份安全公告ADV200005的通知：

　　2020年3月10日发布或更新的安全公告

　　========================================= =====

　　* Microsoft安全通报ADV200005

　　– ADV200005 | Microsoft禁用SMBv3压缩指南

　　-修订原因：信息已发布。

　　–最初发布：2020

　　年3月10日–更新：不适用

　　–版本1.0

　　有关CVE-2020-0796的详细信息

　　Microsoft的SMBv3协议实现在压缩处理中包含一个漏洞(CVE-2020-0796)。此漏洞使远程攻击者无需身份验证即可在易受攻击的系统上执行任意代码。这是“可蠕虫”的情况，它允许恶意软件在网络上传播。Tenable发现了此情况并报告给Microsoft。稳定的将漏洞称为EternalDarkness。根据Tenable，以下Windows版本会受到影响：

　　Windows Server 1903版(服务器核心安装)

　　Windows Server版本1909(服务器核心安装)

　　适用于32位系统的Windows 10版本1903

　　Windows 10 1903版(用于基于ARM64的系统)

　　Windows 10 1903版(用于基于x64的系统)

　　适用于32位系统的Windows 10版本1909

　　Windows 10 1909版(用于基于ARM64的系统)

　　Windows 10版本1909(用于基于x64的系统)

　　这会影响Microsoft Server Message Block 3.1.1(SMBv3)的实现。Microsoft写道，他们知道远程执行代码漏洞。该漏洞在于Microsoft Server Message Block 3.1.1(SMBv3)协议如何处理特定请求。成功利用此漏洞的攻击者可以获得在目标SMB服务器或SMB客户端上执行代码的能力。

　　若要利用针对SMB服务器的漏洞，未经身份验证的攻击者必须将特制数据包发送到目标SMBv3服务器。为了利用针对SMB客户端的漏洞，未经身份验证的攻击者必须配置恶意的SMBv3服务器，并迫使用户连接到该服务器。

　　没有更新，但有解决方法

　　Microsoft尚未发布更新来关闭SMBv3漏洞。昨天的补丁日(2020年3月10日)未解决该问题。在ADV200005中，Microsoft当前仅建议关闭SMBv3协议中的压缩作为解决方法。为此，请在服务器上打开管理命令提示符，然后输入以下PowerShell语句：

　　Set-ItemProperty -Path“ HKLM： SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force

　　此命令不需要重新启动服务器。但是，应注意的是，此替代方法不能防止SMBv3客户端上的漏洞利用。要稍后撤消该解决方法，请在管理命令提示符处键入以下PowerShell语句：

　　Set-ItemProperty -Path“ HKLM： SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 0 -Force

　　Microsoft还建议在ADV200005中阻止防火墙中的TCP端口445。他的端口用于启动与受影响组件的连接。在外围防火墙(公司网络和Internet之间的网关)处阻塞此端口有助于保护防火墙后面的系统免遭尝试通过Internet利用此漏洞的企图。这可以帮助保护网络免受来自公司网络外部的攻击。