事件描述
3 月 10 日,微软发布安全通告称 Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞,未经身份验证的攻击者发送精心构造的数据包进行攻击,可在目标SMB服务器上执行任意代码。攻击者可以通过利用该漏洞,向存在漏洞的受害主机的 SMBv 服务发送一个特殊构造的数据包即可远程执行任意代码,甚至是可以造成蠕虫攻击,也就是很有可能成为下一个 Wannacry。 目前微软尚未发布该漏洞补丁,请各教育系统单位重点关注该漏洞近况。
漏洞编号
CVE-2020-0796
影响版本
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
安全建议
一、目前,相关防护措施可参考链接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv200005
二、防火墙禁用 SMBv3 压缩
三、您可以使用以下 PowerShell 命令禁用压缩功能,以阻止未经身份验证的攻击者利用 SMBv3 服务器的漏洞。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 -Force
