奇安信發(fā)布微軟高危漏洞預(yù)警，Win10為主要影響目標(biāo)

藍(lán)鯨TMT頻道3月14日訊，近日，奇安信威脅情報中心發(fā)布了Microsoft WindowsSMBv3服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞通告。通告稱，3月11日，國外某公司發(fā)布了一個近期微軟安全補(bǔ)丁包設(shè)計(jì)的漏洞綜述，其中包括一個威脅等級被標(biāo)記為Critical的SMB服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞(漏洞編號為CVE-2020-0796)，該漏洞存在于Windows的SMBv3(文件共享與打印服務(wù))中。

據(jù)該公司描述，攻擊者可以利用此漏洞，遠(yuǎn)程發(fā)送構(gòu)造特殊的惡意數(shù)據(jù)，并且無需用戶驗(yàn)證便可導(dǎo)致在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼，從而獲取機(jī)器的完全控制權(quán)限。奇安信威脅情報中心紅雨滴團(tuán)隊(duì)提醒，利用此漏洞可穩(wěn)定造成系統(tǒng)崩潰，由于漏洞存在的信息已經(jīng)擴(kuò)散，并且有跡象表明黑客團(tuán)伙正在積極地研究漏洞細(xì)節(jié)嘗試?yán)?，?gòu)成潛在的安全威脅。

支持該協(xié)議的設(shè)備包括Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016，但是從微軟的通告來看受影響目標(biāo)主要是Win10系統(tǒng)。值得注意的是，據(jù)市場調(diào)研機(jī)構(gòu)NetMarketShare的最新數(shù)據(jù)顯示，Win10系統(tǒng)目前市場占比為57.39%，并且隨著Win7操作系統(tǒng)的正式停服，這一比例還將繼續(xù)增長。因此，考慮到相關(guān)設(shè)備的數(shù)量級，該漏洞的潛在威脅較大，并且存在著大范圍利用的可能，例如永恒之藍(lán)事件等。

漏洞基本情況如下：

漏洞名稱

Microsoft WindowsSMBv3服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞

威脅類型

遠(yuǎn)程代碼執(zhí)行

威脅等級

嚴(yán)重

漏洞ID

CVE-2020-0796

利用場景

攻擊者可以通過發(fā)送特殊構(gòu)造的數(shù)據(jù)包觸發(fā)漏洞，無需用戶驗(yàn)證就可能導(dǎo)致控制目標(biāo)系統(tǒng)，同時影響服務(wù)器與客戶端系統(tǒng)。

受影響系統(tǒng)及應(yīng)用版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

目前，微軟已經(jīng)發(fā)布了相應(yīng)的安全補(bǔ)丁，奇安信強(qiáng)烈建議用戶立即安裝補(bǔ)丁，以免受此漏洞導(dǎo)致的風(fēng)險。補(bǔ)丁安裝可以訪問如下鏈接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

如暫時不方便安裝補(bǔ)丁，微軟建議執(zhí)行以下命令禁用SMB 3.0的壓縮功能：

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force