CVE-2020-0796:疑似微软SMB协议“蠕虫级”漏洞初步通告(有待继续跟进)

2020-03-11 07:58:53
微软SMB协议的内存破坏漏洞,编号CVE-2020-0796,并表示该漏洞无需授权验证即可被远程利用,可能形成蠕虫级漏洞。
事件描述
2020年3月11日,腾讯安全威胁情报中心监测到海外厂家发布安全规则通告,通告描述一处微软SMB协议的内存破坏漏洞,编号CVE-2020-0796,并表示该漏洞无需授权验证即可被远程利用,可能形成蠕虫级漏洞。

微软官方在3月安全更新(https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Mar)中没有对编号 CVE-2020-0796 的漏洞进行描述,腾讯安全威胁情报中心会继续关注有关该漏洞的进展。

漏洞是因为操作系统在处理SMB协议中的压缩数据包时存在错误处理。
成功构造数据包的攻击者可在远程无验证的条件下利用该漏洞执行任意代码。

影响版本
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)

时间线
2020-03-11 某厂家发布规则更新,披露疑似SMB严重漏洞; 
2020-03-11 腾讯安全威胁情报中心跟进。

参考链接
https://fortiguard.com/encyclopedia/ips/48773

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Mar

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005


手动解决办法:

管理员模式启动PowerShell,将以下命令复制到Powershell命令行,执行即可

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

最新资讯