奇安信发布微软高危漏洞预警，Win10为主要影响目标

蓝鲸TMT频道3月14日讯，近日，奇安信威胁情报中心发布了Microsoft WindowsSMBv3服务远程代码执行漏洞通告。通告称，3月11日，国外某公司发布了一个近期微软安全补丁包设计的漏洞综述，其中包括一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞(漏洞编号为CVE-2020-0796)，该漏洞存在于Windows的SMBv3(文件共享与打印服务)中。

据该公司描述，攻击者可以利用此漏洞，远程发送构造特殊的恶意数据，并且无需用户验证便可导致在目标系统上执行恶意代码，从而获取机器的完全控制权限。奇安信威胁情报中心红雨滴团队提醒，利用此漏洞可稳定造成系统崩溃，由于漏洞存在的信息已经扩散，并且有迹象表明黑客团伙正在积极地研究漏洞细节尝试利用，构成潜在的安全威胁。

支持该协议的设备包括Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016，但是从微软的通告来看受影响目标主要是Win10系统。值得注意的是，据市场调研机构NetMarketShare的最新数据显示，Win10系统目前市场占比为57.39%，并且随着Win7操作系统的正式停服，这一比例还将继续增长。因此，考虑到相关设备的数量级，该漏洞的潜在威胁较大，并且存在着大范围利用的可能，例如永恒之蓝事件等。

漏洞基本情况如下：

漏洞名称

Microsoft WindowsSMBv3服务远程代码执行漏洞

威胁类型

远程代码执行

威胁等级

严重

漏洞ID

CVE-2020-0796

利用场景

攻击者可以通过发送特殊构造的数据包触发漏洞，无需用户验证就可能导致控制目标系统，同时影响服务器与客户端系统。

受影响系统及应用版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

目前，微软已经发布了相应的安全补丁，奇安信强烈建议用户立即安装补丁，以免受此漏洞导致的风险。补丁安装可以访问如下链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

如暂时不方便安装补丁，微软建议执行以下命令禁用SMB 3.0的压缩功能：

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force