关于MicrosoftSMBv3远程代码执行高危漏洞的预警通报

近日，安全研究员人员公开一份SMBGhost（代号：永恒之黑）漏洞的RCE代码。该漏洞在2020年3月12日发布的Windows SMBv3 客户端/服务器远程代码执行漏洞的现实威胁上进一步升级，因该漏洞无需用户验证的特性，可能导致类似WannaCry攻击蠕虫式的传播。漏洞编号：CVE-2020-0796，安全级别为：“高危”。

一、漏洞情况

该漏洞为Microsoft SMBv3网络通信协议中的预身份验证远程代码执行漏洞。SMBv3在处理特定请求时，存在远程代码执行漏洞，该漏洞影响SMBv3服务器和SMBv3客户端。未经身份验证的攻击者可通过向受影响SMBv3服务器发送特制的压缩数据包来利用此漏洞，攻击者可通过配置恶意SMBv3服务器并诱导用户连接来利用此漏洞，成功利用此漏洞的远程攻击者可在目标机器上执行任意代码。值得关注的是，该漏洞存在客户端访问恶意服务端的利用场景，因此理论上引入了浏览器的攻击面。

近日，相关安全研究员在GitHub上公开了一份此漏洞的远程代码执行利用代码，由于本次公布的是漏洞利用源代码，可被黑灰产直接修改用于网络攻击，导致漏洞的现实威胁进一步升级。因该漏洞无需用户验证的特性，可能导致类似WannaCry攻击那样的蠕虫式传播。

二、影响范围

Windows10 Version 1903 for 32-bit Systems；

Windows10 Version 1903 for x64-based Systems；

Windows10 Version 1903 for ARM64-based Systems；

WindowsServer, Version 1903 (Server Core installation)；

Windows10 Version 1909 for 32-bit Systems；

Windows10 Version 1909 for x64-based Systems；

Windows10 Version 1909 for ARM64-based Systems；

WindowsServer, Version 1909 (Server Core installation)

三、处置建议

（一）微软官方已发布针对此漏洞受影响版本的补丁程序，该安全更新通过更正SMBv3协议处理这些特制请求的方式来解决此漏洞。请受影响单位参考附件补丁链接立即安装补丁程序。（二）如果暂时无法安装补丁程序，可采取临时缓解措施 ：

1.禁用SMBv3 compression：用户可使用以下 PowerShell 命令禁用 compression 功能，以阻止未经身份验证的攻击者利用此漏洞来攻击 SMBv3 服务器。

2.网络端口限制：在企业外围防火墙处阻止445端口的连接（该方法只能保护网络免受来自企业外围的攻击，系统仍可能受到企业内网络的攻击）。请广大用户及时自查并进行漏洞修复，做好疫情防控期间网络安全保护工作。

附件：补丁链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796