Microsoft Windows SMBv3远程代码执行漏洞

SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同操作系统的计算机之间提供文件及打印机等资源的共享服务。SMB 协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其它资源。

近日，微软已经确认在Windows 10最新版本中存在一个影响SMBv3协议的新的严重漏洞，可能允许攻击者在SMB服务器上远程执行代码。

默安科技的水滴主机安全防护系统目前已支持该漏洞的检测，如果您的企业存在相关风险，可以联系我们辅助检测是否受到此类漏洞影响，以免被攻击者恶意利用，造成品牌和经济损失。

漏 洞 描 述

该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的，它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法.最终导致整数溢出。

受 影 响 版 本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

漏 洞 检 测

对于该漏洞，目前默安科技的水滴主机安全防护系统已支持通过相关应急插件进行批量检测，如下图所示。

漏 洞 修 复

1. 若无业务必要，暂时关闭445端口；

2. 若无业务必要，暂时禁用SMBv3服务的压缩,关闭方法: 在cmd或者powershell中执行 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force；

3. 前往 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762 安装系统对应补丁。

参考链接：

https://www.cvedetails.com/cve/CVE-2020-0796

https://support.microsoft.com/kb/4551762

水滴·云主机安全管理系统