CVE-2020-0796:SMB通信协议新漏洞

微软发布网络协议SMB 3.1.1严重漏洞CVE-2020-0796的修复补丁

3月12日更新

据最新报道,Windows 10和Windows Server操作系统存在CVE-2020-0796 RCE漏洞,该漏洞影响到微软Microsoft Server Message Block 3.1.1 (SMBv3)通信协议。根据微软的说法,攻击者可以利用此漏洞在SMB服务器或SMB客户端上执行任意代码。攻击者只要发送精心构造的数据包就能攻击服务器。而要想攻击客户端,攻击者则须先配置一个恶意的SMBv3服务器,并让用户连接到它。

网络安全专家认为,该漏洞可被用于启动类似WannaCry的蠕虫病毒。微软表示该漏洞非常严重,必须尽快关闭。

哪些用户将面临危险?

SMB是一种用于远程访问文件、打印机和其他网络资源的网络协议。微软Windows网络和文件及打印机的共享功能都使用了该协议。如果您的公司正在使用这些功能,请格外注意。

Microsoft Server Message Block 3.1.1是一个相对较新的协议,只在新的操作系统中使用:

  • Windows 10 版本1903 32位系统
  • Windows 10 版本1903 ARM64系统
  • Windows 10 版本1903 64位系统
  • Windows 10 版本1909 32位系统
  • Windows 10 版本1909 ARM64系统
  • Windows 10 版本1909 64位系统
  • Windows Server 版本1903 (Server Core installation)
  • Windows Server 版本1909 (Server Core installation)

Windows 7, 8, 8.1 以及更古老的版本不会受到这个漏洞的影响。然而,大多数比较新的电脑会自动安装Windows 10推送的更新,因此仍然有大量家用及企业的电脑会受到影响或被攻击。

是否有攻击者已经在利用漏洞CVE-2020-0796

微软表示,漏洞CVE-2020-0796暂时还未被利用,至少目前还未发现相关的攻击。但问题在于,现在没有可用于修复该漏洞的补丁更新。同时,与CVE-2020-0796相关的信息自3月10日起在公共领域传播。即使现在仍未有利用该漏洞的攻击,也不应掉以轻心,它随时可能在下一秒发生。

用户该怎么做?

3月12日更新:微软已经针对该漏洞发布了安全更新,请点击此处下载

由于暂时没有可用的补丁,用户必须手动关闭该漏洞。微软提供了如下指南指引用户阻断该漏洞被利用的可能。

SMB服务器:

  • 通过PowerShell 指令阻止该漏洞被利用:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

SMB客户端:

  • 与应对WannaCry的方法一样,微软建议企业边界防火墙关闭TCP端口445。

另外,请确保使用可靠的安全解决方案,如卡巴斯基端点安全企业版。除了常规功能防之外,它还包含了一个漏洞预防子系统来保护终端,甚至能避免未知的漏洞被利用。

提示