尊敬的客戶(hù)，你好：

2020年3月11日，有海外廠(chǎng)商發(fā)布安全通告，通告中描述了一處微軟SMBv3協(xié)議的內存破壞漏洞，CVE編號CVE-2020-0796，并表示該漏洞無(wú)需授權驗證即可被遠程利用，可能形成蠕蟲(chóng)級漏洞，遠程攻擊者可以控制易受攻擊的系統，微軟官方也已發(fā)布通告。

目前，網(wǎng)上還沒(méi)公開(kāi)可利用的POC。聯(lián)軟魔方SaaS平臺已經(jīng)支持相關(guān)的漏洞檢測插件，請使用SaaS平臺的客戶(hù)，登錄平臺添加專(zhuān)項任務(wù)，檢測是否存在受影響資產(chǎn)。

檢測方法：登錄平臺--任務(wù)管理--系統掃描--添加任務(wù)，在插件檢測欄勾選【W(wǎng)indows SMBv3 緩沖區溢出漏洞（檢測）】插件。

漏洞情況分析

★漏洞概要

漏洞名稱(chēng)：

Microsoft Windows SMBv3.0服務(wù)遠程代碼執行漏洞

威脅類(lèi)型：遠程代碼執行

漏洞ID：CVE-2020-0796

威脅等級：嚴重

★受影響的系統及應用版本如下：

◆Windows 10 Version 1903 for 32-bit Systems

◆Windows 10 Version 1903 for ARM64-based Systems

◆Windows 10 Version 1903 for x64-based Systems

◆Windows 10 Version 1909 for 32-bit Systems

◆Windows 10 Version 1909 for ARM64-based Systems

◆Windows 10 Version 1909 for x64-based Systems

◆Windows Server, version 1903 (Server Core installation)

◆Windows Server, version 1909 (Server Core installation)

★漏洞描述

漏洞存在于Windows的SMBv3.0（文件共享與打印服務(wù)）中，目前技術(shù)細節暫不公布，對于漏洞的利用無(wú)需用戶(hù)驗證，通過(guò)構造惡意請求即可觸發(fā)導致任意代碼執行，系統受到非授權控制。

★影響面評估

此漏洞主要影響SMBv3.0協(xié)議，目前支持該協(xié)議的設備包括Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016，但是從微軟的通告來(lái)看受影響目標主要是Win10系統，考慮到相關(guān)設備的數量級龐大，潛在威脅較大。

漏洞修復方法

★更新補丁

微軟已經(jīng)發(fā)布了此漏洞的安全補丁，訪(fǎng)問(wèn)如下鏈接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

★

臨時(shí)解決方案

如果暫時(shí)無(wú)法安裝補丁，微軟當前建議按如下臨時(shí)解決方案處理，您可以使用以下PowerShell執行以下命令：

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force

禁用SMB 3.0的壓縮功能，是否使用需要結合自己業(yè)務(wù)進(jìn)行判斷。

★聯(lián)軟安全解決方案

一、緊急處理措施：

（1）注冊表修改

如果暫時(shí)無(wú)法安裝補丁，微軟當前建議按如下臨時(shí)解決方案處理：

您可以使用以下PowerShell執行以下命令：Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -Type DWORD -Value 1 -Force 禁用SMB 3.0的壓縮功能。

部署聯(lián)軟UniAccess 終端安全管理系統的用戶(hù)，可統一下發(fā)注冊表修改策略，自動(dòng)、批量實(shí)現注冊表的修改。

（2）入網(wǎng)安全檢查注冊表/補丁號

部署聯(lián)軟UniNAC網(wǎng)絡(luò )準入控制系統的用戶(hù)，針對此次漏洞，可在入網(wǎng)安全檢查規則中，增加對KB4551762的檢查，且要求更新安裝指定補丁后才允許入網(wǎng)，在網(wǎng)絡(luò )邊界構筑安全防護。

二、徹底修復措施

聯(lián)軟已更新微軟發(fā)布的修復補丁，企業(yè)安全管理員可采用聯(lián)軟UniAccess 終端安全管理系統的補丁管理模塊指定KB4551762進(jìn)行批量更新。補丁分發(fā)后，提供補丁安裝詳細信息報表，核實(shí)補丁的安裝覆蓋以及是否真正生效。

三、如果擔心已經(jīng)被入侵，可以使用聯(lián)軟UniNID網(wǎng)絡(luò )智能防御系統，實(shí)時(shí)發(fā)現針對該漏洞的攻擊行為。

參考鏈接：

1、https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

2、https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fblog.talosintelligence.com%2f2020%2f03%2fmicrosoft-patch-tuesday-march-2020.html&w=NrvF66m3pULMCOMEBw-cKyRUwi9s1qXv&d=928684983196

3、https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

深圳市聯(lián)軟科技股份有限公司

端點(diǎn)安全產(chǎn)品部

2020年3月13日