尊敬的客戶(hù)，你好：

2020年3月11日，有海外廠(chǎng)商發(fā)布安全通告，通告中描述了一處微軟SMBv3協(xié)議的內(nèi)存破壞漏洞，CVE編號(hào)CVE-2020-0796，并表示該漏洞無(wú)需授權(quán)驗(yàn)證即可被遠(yuǎn)程利用，可能形成蠕蟲(chóng)級(jí)漏洞，遠(yuǎn)程攻擊者可以控制易受攻擊的系統(tǒng)，微軟官方也已發(fā)布通告。

目前，網(wǎng)上還沒(méi)公開(kāi)可利用的POC。聯(lián)軟魔方SaaS平臺(tái)已經(jīng)支持相關(guān)的漏洞檢測(cè)插件，請(qǐng)使用SaaS平臺(tái)的客戶(hù)，登錄平臺(tái)添加專(zhuān)項(xiàng)任務(wù)，檢測(cè)是否存在受影響資產(chǎn)。

檢測(cè)方法：登錄平臺(tái)--任務(wù)管理--系統(tǒng)掃描--添加任務(wù)，在插件檢測(cè)欄勾選【W(wǎng)indows SMBv3 緩沖區(qū)溢出漏洞（檢測(cè)）】插件。

漏洞情況分析

★漏洞概要

漏洞名稱(chēng)：

Microsoft Windows SMBv3.0服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞

威脅類(lèi)型：遠(yuǎn)程代碼執(zhí)行

漏洞ID：CVE-2020-0796

威脅等級(jí)：嚴(yán)重

★受影響的系統(tǒng)及應(yīng)用版本如下：

◆Windows 10 Version 1903 for 32-bit Systems

◆Windows 10 Version 1903 for ARM64-based Systems

◆Windows 10 Version 1903 for x64-based Systems

◆Windows 10 Version 1909 for 32-bit Systems

◆Windows 10 Version 1909 for ARM64-based Systems

◆Windows 10 Version 1909 for x64-based Systems

◆Windows Server, version 1903 (Server Core installation)

◆Windows Server, version 1909 (Server Core installation)

★漏洞描述

漏洞存在于Windows的SMBv3.0（文件共享與打印服務(wù)）中，目前技術(shù)細(xì)節(jié)暫不公布，對(duì)于漏洞的利用無(wú)需用戶(hù)驗(yàn)證，通過(guò)構(gòu)造惡意請(qǐng)求即可觸發(fā)導(dǎo)致任意代碼執(zhí)行，系統(tǒng)受到非授權(quán)控制。

★影響面評(píng)估

此漏洞主要影響SMBv3.0協(xié)議，目前支持該協(xié)議的設(shè)備包括Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016，但是從微軟的通告來(lái)看受影響目標(biāo)主要是Win10系統(tǒng)，考慮到相關(guān)設(shè)備的數(shù)量級(jí)龐大，潛在威脅較大。

漏洞修復(fù)方法

★更新補(bǔ)丁

微軟已經(jīng)發(fā)布了此漏洞的安全補(bǔ)丁，訪(fǎng)問(wèn)如下鏈接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

★

臨時(shí)解決方案

如果暫時(shí)無(wú)法安裝補(bǔ)丁，微軟當(dāng)前建議按如下臨時(shí)解決方案處理，您可以使用以下PowerShell執(zhí)行以下命令：

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force

禁用SMB 3.0的壓縮功能，是否使用需要結(jié)合自己業(yè)務(wù)進(jìn)行判斷。

★聯(lián)軟安全解決方案

一、緊急處理措施：

（1）注冊(cè)表修改

如果暫時(shí)無(wú)法安裝補(bǔ)丁，微軟當(dāng)前建議按如下臨時(shí)解決方案處理：

您可以使用以下PowerShell執(zhí)行以下命令：Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force 禁用SMB 3.0的壓縮功能。

部署聯(lián)軟UniAccess 終端安全管理系統(tǒng)的用戶(hù)，可統(tǒng)一下發(fā)注冊(cè)表修改策略，自動(dòng)、批量實(shí)現(xiàn)注冊(cè)表的修改。

（2）入網(wǎng)安全檢查注冊(cè)表/補(bǔ)丁號(hào)

部署聯(lián)軟UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的用戶(hù)，針對(duì)此次漏洞，可在入網(wǎng)安全檢查規(guī)則中，增加對(duì)KB4551762的檢查，且要求更新安裝指定補(bǔ)丁后才允許入網(wǎng)，在網(wǎng)絡(luò)邊界構(gòu)筑安全防護(hù)。

二、徹底修復(fù)措施

聯(lián)軟已更新微軟發(fā)布的修復(fù)補(bǔ)丁，企業(yè)安全管理員可采用聯(lián)軟UniAccess 終端安全管理系統(tǒng)的補(bǔ)丁管理模塊指定KB4551762進(jìn)行批量更新。補(bǔ)丁分發(fā)后，提供補(bǔ)丁安裝詳細(xì)信息報(bào)表，核實(shí)補(bǔ)丁的安裝覆蓋以及是否真正生效。

三、如果擔(dān)心已經(jīng)被入侵，可以使用聯(lián)軟UniNID網(wǎng)絡(luò)智能防御系統(tǒng)，實(shí)時(shí)發(fā)現(xiàn)針對(duì)該漏洞的攻擊行為。

參考鏈接：

1、https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

2、https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fblog.talosintelligence.com%2f2020%2f03%2fmicrosoft-patch-tuesday-march-2020.html&w=NrvF66m3pULMCOMEBw-cKyRUwi9s1qXv&d=928684983196

3、https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

深圳市聯(lián)軟科技股份有限公司

端點(diǎn)安全產(chǎn)品部

2020年3月13日