2020年3月12日，武漢云之巔應(yīng)急響應(yīng)中心監(jiān)測(cè)到微軟官方發(fā)布安全公告，披露某些Windows版本的SMBv3協(xié)議實(shí)現(xiàn)壓縮功能存在一處遠(yuǎn)程代碼執(zhí)行漏洞。成功利用該漏洞的攻擊者可以在目標(biāo)SMB服務(wù)器或SMB客戶端上執(zhí)行代碼。目前微軟官方已提供安全補(bǔ)丁，并提供了無需安裝補(bǔ)丁的緩解措施。

漏洞特征

遠(yuǎn)程代碼執(zhí)行

漏洞詳情

針對(duì)SMBv3服務(wù)器，攻擊者可以將特制的數(shù)據(jù)包發(fā)送到SMB服務(wù)器來觸發(fā)漏洞。若要針對(duì)SMBv3客戶端，攻擊者需要配置好一個(gè)惡意的SMB服務(wù)器，并誘使用戶連接該服務(wù)器。另?yè)?jù)國(guó)外安全媒體報(bào)道，該漏洞（CVE-2020-0796）具有蠕蟲特性。漏洞只影響Windows 10系統(tǒng)和Server 1903、1909系統(tǒng)版本，不影響主流的Windows Server 2008/2012/2016/2019系統(tǒng)。

修復(fù)建議

針對(duì)使用受漏洞影響的Windows系統(tǒng)版本的用戶，可采用以下任意方式來進(jìn)行修復(fù)或者緩解：
1. 前往微軟官方下載相應(yīng)補(bǔ)丁進(jìn)行更新: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 。
2. 使用注冊(cè)表禁用SMBv3 的compression功能來達(dá)到漏洞緩解，命令如下：
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
3. 關(guān)閉SMB服務(wù)端口，禁止139和445端口對(duì)外部開放。