- 漏洞信息
| 序号 |
漏洞类型 |
风险等级 |
漏洞主机( 操作系统及版本) |
| 1 |
SMB服务远程代码执行漏洞(CVE-2020-0796) |
高 |
Windows |
漏洞加固实施
漏洞1:SMB服务远程代码执行漏洞(CVE-2020-0796)
漏洞详细
2020年3月11日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞(CVE-2020-0796)。攻击者可能利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。
微软SMBv3(Server Message Block 3.0)服务远程代码执行漏洞(CVE-2020-0796)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Office文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。
影响版本:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
加固方案
运行Windows更新,完成Windows10 2020年3月累积更新补丁的安装。
操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。
直接下载对应补丁进行安装(KB4551762)。
Microsoft Update Catalog
访问微软该漏洞官方页面,选择相应的Windows版本安全更新,独立安装该漏洞安全补丁。
Security Update Guide - Microsoft Security Response Center。
根据BleepingComputer的说法,尽管Microsoft并未共享禁用SMBv3压缩的官方方法,但是Foregenix Solutions架构师Niall Newman在分析了Srv2.sys文件后可以通过手动修改注册表,防止被黑客远程攻击。
(1) 在注册表“HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。
(2) 在管理员模式启动PowerShell,将以下命令复制到Powershell命令行,执行即可。
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
风险控制措施
若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口TCP 135/139/445以缓解此问题。文章来源:https://www.toymoban.com/news/detail-470165.html
可以通过安全厂商的漏洞检验和修复工具来检查是否存在漏洞和进行漏洞修复。 文章来源地址https://www.toymoban.com/news/detail-470165.html
到了这里,关于SMB服务远程代码执行漏洞(CVE-2020-0796)加固指南的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)](https://imgs.yssmx.com/Uploads/2024/02/570333-1.png)
