[工具]Windows SMBv3 远程代码执行漏洞 (CVE-2020-0796 ) POC

漏洞等级

严重

CVE

CVE-2020-0796

漏洞简介

2020.03.10 思科Talos团队和Fortinet公司发布了一个Smbv3 的0day, 该漏洞尚未在微软本月补丁日出现,目前没有任何技术详细信息,但漏洞评级为最高等级, 且截止(2020.03.10)没有补丁发布。

漏洞危害

经斗象安全应急响应团队分析, 该漏洞类型为SMB缓冲区溢出，未经授权的远程攻击者可以通过精心构造的请求包进行远程代码执行，不排除攻击客户端的可能性。

影响范围

Windows 10 Version 1903 32-bit 

Windows 10 Version 1903 x64 

Windows 10 Version 1903 ARM64 

Windows Server, version 1903 (系统核心)

Windows 10 Version 1909 32-bit 

Windows 10 Version 1909 x64 

Windows 10 Version 1909 ARM64 

Windows Server, version 1909 (系统核心)

 

修复方案

1. 截止2020.03.11 暂无对应补丁

2. 缓解措施为暂时关闭445端口对外开放或禁用SMbv3 compression

       禁用SMbv3 compression 可以在SMBv3 Server的Powershell中执行如下代码

       Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

       1.进行更改后，无需重新启动。

       2.此解决方法不能防止利用SMB客户端。

3.在必要情况下阻止所有进出的445流量

参考：https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections

 

漏洞验证（POC）

cve-2020-0796-master.zip