微软SMBv3服务“蠕虫型”利用漏洞风险通告漏洞概述

2020年03月11日 作者: 瀚思科技

漏洞概述

3月11日,微软公布了在Server Message Block 3.0(SMBv3)中发现的“蠕虫型”预授权远程代码执行漏洞,该漏洞已被定义为CVE-2020-0796。该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的,它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。

SMB服务为2017年WannaCry系列勒索软件蠕虫传播所利用的服务协议,通常用于计算机之间共享文件、打印机、串口等通信,在部分操作系统版本中默认是开启的。 目前,Microsoft尚未发布特定针对此漏洞的补丁措施,仅提供了临时缓解措施。

风险等级

互联网尚未公布PoC及利用方法,瀚思将持续密切关注。

影响版本

应对建议

  1. 参考微软建议,禁用Disable SMBv3 compression服务模块:

以管理员模式,在powershell命令行下执行如下命令

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

微软声称以上无需重启系统、可立即生效。

  1. 如确认无相关共享类服务服务,可直接关闭TCP 445等端口通信来进行防护(注意同时防护内网和外网流向通信) https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections

  2. 在瀚思安全平台上对445端口的大量扫描类告警事件保持重点关注 暂无需配专门规则

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005