防护方案来了！Windows SMBv3远程代码执行漏洞 (CVE-2020-0796)

阅读： 2,930

一、综述

北京时间3月11日，微软发布了3月安全补丁更新，其中包含一条安全通告称其已经了解到在Microsoft Server Message Block 3.1.1(SMBv3)中存在一个远程代码执行漏洞，成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。该漏洞源于SMBv3协议对于特定请求的处理方式存在错误，攻击者可以在未经身份验证的情况下利用该漏洞。

若要针对SMBv3服务器，攻击者可以将特制的数据包发送到SMB服务器来触发。若要针对SMBv3客户端，攻击者需要配置好一个恶意的SMB服务器，并诱使用户连接该服务器。

绿盟科技已在第一时间复现了利用该漏洞的过程，效果如下所示:

目前微软已经发布补丁进行了修复。

鉴于该漏洞潜在威胁大，强烈建议用户尽快采取相关防护措施进行防护。

参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

二、漏洞影响范围

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

三、防护方案

3.1 官方修复方案

3.1.1 安全补丁

微软官方已针对受影响产品发布了安全补丁KB4551762，强烈建议受影响用户开启系统自动更新安装补丁进行防护。

如需单独安装，官方提供的补丁下载地址如下。

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

3.1.2 临时防护

无法安装更新的用户可通过以下Powershell命令来禁用SMBv3中的压缩功能，对SMBv3 Server进行临时防护：

Set-ItemProperty -Path 
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force

注意：

1. 以上命令不需要重启即可生效。

2. 以上命令仅可以用来临时防护针对SMB服务器（SMB SERVER）的攻击，攻击者还是可以利用该漏洞来攻击SMB客户端（SMB Client）。

3. 请参阅并遵循微软的指导来保护SMB client。

https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections

4. 禁用SMB压缩不会对性能造成负面影响。

3.2 绿盟科技检测防护建议

3.2.1 绿盟科技检测类产品与服务

内网资产可以使用绿盟科技的远程安全评估系统（RSAS V6）、入侵检测系统(IDS)、统一威胁探针（UTS）进行检测。

远程安全评估系统（RSAS V6）

http://update.nsfocus.com/update/listRsas

入侵检测系统（IDS）

http://update.nsfocus.com/update/listIds

统一威胁探针（UTS）

http://update.nsfocus.com/update/bsaUtsIndex

3.2.1.1 检测产品升级包/规则版本号

RSAS V6升级包下载链接：

http://update.nsfocus.com/update/downloads/id/103169

注：“Microsoft SMBv3远程代码执行漏洞(CVE-2020-0796)【原理扫描】” 此插件为危险插件，可能造成受此漏洞影响的主机蓝屏、重启、关闭等异常。默认不开启，如需要，请开启危险插件后进行扫描。

IDS 升级包下载链接：

5.6.10.22154

http://update.nsfocus.com/update/downloads/id/103168

5.6.9.22154

http://update.nsfocus.com/update/downloads/id/103167

UTS 升级包下载链接：

http://update.nsfocus.com/update/downloads/id/103172

3.2.2 绿盟科技防护类产品

使用绿盟科技防护类产品，入侵防护系统（IPS）来进行防护。

入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

3.2.2.1 防护产品升级包/规则版本号

IPS 规则升级包下载链接：

5.6.10.22154

http://update.nsfocus.com/update/downloads/id/103168

5.6.9.22154

http://update.nsfocus.com/update/downloads/id/103167

3.2.3 安全平台

四、技术分析

漏洞原理

该漏洞CVE-2020-0796(又名SMBGhost)源于SMB v3的数据压缩功能。在SMB v3中微软引入了数据压缩的功能，通过与服务器的前期交互，可以设定传输经过压缩的数据，从而增加效率。然而在包含压缩数据的SMB包中，攻击者可以通过控制相关字段，使得程序在申请存储数据的缓冲区时发生溢出，从而使得目标系统蓝屏拒绝服务。

五、附录产品/平台使用指南

5.1 RSAS扫描配置

在系统升级中，点击下图红框位置选择文件。

选择下载好的相应升级包，点击升级按钮进行手动升级。等待升级完成后，可通过定制扫描模板，针对此漏洞进行扫描。

5.2 UTS检测配置

在系统升级中点击离线升级，选择规则升级文件，选择对应的升级包文件，点击上传，并等待升级成功即可。

5.3 IPS防护配置

5.3.1 在系统升级中点击离线升级，选择系统规则库，选择对应的文件，点击上传。

5.3.2 更新成功后，在系统默认规则库中查找规则编号，即可查询到对应的规则详情。

注意事项：该升级包升级后引擎自动重启生效，不会造成会话中断，但ping包会丢3~5个，请选择合适的时间升级。

5.4 ISOP 绿盟智能安全运营平台

第一步：登录ISOP平台，点击系统升级，如下图所示：

第二步：在“统一规则库升级”中选择“攻击识别规则包”，将下载的最新版本规则包导入上传，并点击升级即可。

防护方案来了！Windows SMBv3远程代码执行漏洞 (CVE-2020-0796)

防护方案来了！Windows SMBv3远程代码执行漏洞 (CVE-2020-0796)