01
漏洞概述
3月12日,微软更新安全通告针对Windows SMBv3客户端/服务器远程代码执行漏洞紧急发布了安全补丁,确定该漏洞编号为CVE-2020-0796。攻击者可利用该漏洞无须权限即可实现远程代码执行,一旦被成功利用,其危害不亚于永恒之蓝。
该漏洞与“永恒之蓝”系列漏洞极为相似,都是利用Windows SMB漏洞远程攻击获取系统最高权限,黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于永恒之蓝。除了直接攻击SMB服务端造成远程代码执行(RCE)外,该漏洞的亮点在于对SMB客户端的攻击,攻击者可以通过构造一个“特制”的网页、压缩包、共享目录、OFFICE文档等,向攻击目标发送,一旦被攻击者打开则瞬间触发漏洞受到攻击。
为避免您的业务受影响,美创安全实验室建议您及时进行漏洞修复,避免被外部攻击者入侵。
02
影响范围
受影响版本:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
03
漏洞检测
1. 版本检测
检查是否使用1903或1909操作系统版本:
查看“Windows规格”中的“版本号”,如果版本号显示为1903或1909,则证明受此漏洞影响,建议立即安装补丁。
2. 补丁检测
在受影响范围内的操作系统中,可执行以下命令查看补丁安装的情况。命令执行结束后如果没有查询到KB4551762补丁,则该系统存在安全风险。
3. 工具检测
下列脚本可对SMB版本进行检测,相关用户可自行选择下载使用。
Python检测脚本
领取专属 10元无门槛券
私享最新 技术干货