[漏洞]Windows SMBv3 远程代码执行漏洞 (CVE-2020-0796 ) POC
漏洞等级
严重
CVE
CVE-2020-0796
漏洞简介
2020.03.10 思科Talos团队和Fortinet公司发布了一个Smbv3 的0day, 该漏洞尚未在微软本月补丁日出现,目前没有任何技术详细信息,但漏洞评级为最高等级, 且截止(2020.03.10)没有补丁发布。
漏洞危害
经斗象安全应急响应团队分析, 该漏洞类型为SMB缓冲区溢出,未经授权的远程攻击者可以通过精心构造的请求包进行远程代码执行,不排除攻击客户端的可能性。
影响范围
- Windows 10 Version 1903 32-bit
-
Windows 10 Version 1903 x64
-
Windows 10 Version 1903 ARM64
-
Windows Server, version 1903 (系统核心)
-
Windows 10 Version 1909 32-bit
-
Windows 10 Version 1909 x64
-
Windows 10 Version 1909 ARM64
-
Windows Server, version 1909 (系统核心)
修复方案
-
截止2020.03.11 暂无对应补丁
-
缓解措施为暂时关闭445端口对外开放或禁用SMbv3 compression
禁用SMbv3 compression 可以在SMBv3 Server的Powershell中执行如下代码
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
1.进行更改后,无需重新启动。
2.此解决方法不能防止利用SMB客户端。
- 在必要情况下阻止所有进出的445流量
参考:https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections
漏洞验证(POC)cve-2020-0796-master
