近日,经上级网络安全部门下发通知,国家信息安全漏洞共享平台(CNVD)收录了 Microsoft Windows SMBv3远程代码执行漏洞(CNVD-2020-16676,对应CVE-2020-0796)(https://www.cnvd.org.cn/flaw/show/CNVD-2020-16676)。攻击者利用 该漏洞无需权限即可实现远程执行任意代码。该漏洞的综合评级为“高危"。
一、漏洞基本情况
SMB(server Message Block)协议作为一种局域网文件 共享传输协议,常被用来作为共享文件安全传输研究的平台。由于SMB3· 1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码,受黑客攻击的目标系统只要开机在线即可能被入侵。该漏洞原理与“永恒之蓝"类似,存在被蠕虫化利用的可能。
二、漏洞影响范围
此次漏洞影响范围较广,凡在网络中使用Windows10 1903版本之后的所有终端,如Windows家庭版、专业版、企业版、教育版,Windows 10 1903(19H1)、Windows 10 1909、Windows server 19H1均为潜在攻击目标。 (查看WIN10版本号的方法:设置à系统à关于àWINDOWS规格à版本号)
三、漏洞处置建议
1.若无业务必要,禁用SMBv3压缩,使用以下PowerShell命令可禁用SMBv3服务的压缩(无需重新启动):Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
2.若无业务必要,暂时关闭135/139/445端口,防御利用该漏洞的攻击。(https://jingyan.baidu.com/article/1e5468f9678d4d484861b764.html 这些端口关闭后,可能会引起文件共享和网络打印工作不正常)
3.不接收和点击来历不明的文件、附件,做好重要数据的备份工作,防止感染病毒,提高数据安全性;
4.目前微软已经公布补丁更新,建议各WIN10用户在保证安全的前提下尽快下载相关补丁,或者打开WIN10的自动更新功能,等待系统推送;
5.安装必要的安全软件,提高安全防范能力;
发现网络攻击情况及时向信息中心值班室报告,联系电话:0351-3985555