漏洞通告 | 微软 SMBv3 协议远程代码执行漏洞（CVE-2020-0796）

漏洞描述
3月11日，某厂商发布了SMBv3的漏洞相关信息，描述了该漏洞为Microsoft SMBv3协议中编号为CVE-2020-0796的内存损坏漏洞。

本次漏洞存在于微软SMBv3.0协议中，该漏洞是由SMBv3处理恶意压缩数据包时进入错误流程造成的。攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。

该漏洞的后果十分接近永恒之蓝系列，都是利用Windows SMB漏洞远程攻击获取系统最高权限，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。
3月12日，微软正式发布漏洞通告和相关补丁。建议用户尽快下载安装漏洞补丁，以防御来自该漏洞的攻击。

漏洞编号
CVE-2020-0796

漏洞类型
远程代码执行

危害程度
高危

影响范围
漏洞影响Windows 10 1903及之后的各个32位、64位版Windows，包括家用版、专业版、企业版、教育版。
•Windows 10 Version 1903 for 32-bit Systems
•Windows 10 Version 1903 for x64-based Systems
•Windows 10 Version 1903 for ARM64-based Systems
•Windows Server, Version 1903 (Server Core installation)
•Windows 10 Version 1909 for 32-bit Systems
•Windows 10 Version 1909 for x64-based Systems
•Windows 10 Version 1909 for ARM64-based Systems
•Windows Server, Version 1909 (Server Core installation)

修复建议

●更新漏洞补丁

微软已经发布了此漏洞的安全补丁，访问如下链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

●禁用SMBv3压缩，可以使用以下PowerShell命令禁用SMBv3服务的压缩功能

Set-ItemProperty -Path
"HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

●建议企业客户在企业外围防火墙处阻止TCP端口445，防止试图利用此漏洞对SMB服务器进行攻击。