Windows SMBv3 CVE-2020-0796漏洞，堪比永恒之蓝

不久，微软公布了在Server Message Block 3.0（SMBv3）中发现的“蠕虫型”预授权远程代码执行漏洞

称为永恒之蓝 2.0，基于 SMBv3 的漏洞，Windows 8和Windows Server 2012 - Windows 10 最新版全部 中招，属于系统级漏洞

利用这一漏洞使系统遭受 ‘蠕虫型’ 攻击，这意味着很容易从一个受害者感染另一个受害者，一开机就感染 提权后可以做任意操作。

在微软发布修补CVE-2020-0796漏洞的安全更新之前，Cisco Talos分享了通过禁用SMBv3压缩和拦截计算机的445端口来防御利用该漏洞发起的攻击。

CVE-2020-0796

该漏洞与微软Server Message Block 3.1.1 (SMBv3)协议有关

在处理压缩消息时，如果其中的数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码。

这个漏洞被评为 Critical 高危级别，攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。

病毒危害

这个漏洞的影响程度据说堪比前几年的永恒之蓝，当年肆虐全球的 WannaCry 勒索病毒也是利用了SMB协议的漏洞攻击系统获得最高权限。

这个漏洞会影响目前主流的Win10版本，具体如下：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

不过Win7系统不受影响，这点跟以往的WannaCry病毒反过来了，后者只影响Win7系统，没影响Win10系统。

修补办法

在3月12日，微软成功发布了该漏洞补丁，win10用户只需升级到最新版本打上安全补丁即可

在此之前微软也发布了一份安全建议，详细说明了如何禁用SMBv3压缩来保护服务器免受攻击。

对于非win10最新版本的用户，建议手动以管理员身份运行PowerShell执行以下代码来临时封堵该漏洞，使你的设备免受攻击

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

版权属于：Xcnte' s Blog（除特别注明外） 本文链接：https://www.xcnte.com/archives/816/ 本站文章采用 知识共享署名4.0 国际许可协议 进行许可，请在转载时注明出处及本声明！