更新時間:2020/06/09 01:37:38
發佈時間:2020/06/09 01:37:38
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
摘要:
Windows SMBv3存在用戶端/伺服器遠端執行程式碼漏洞,攻擊者可在目標伺服器或用戶端上執行程式碼
概述:
Microsoft Server Message Block 3.1.1 (SMBv3) 通訊協定處理特定要求的方式中存在遠端執行程式碼漏洞。成功利用漏洞的攻擊者可能會獲得在目標伺服器或用戶端上執行程式碼的能力。
為了利用伺服器的漏洞,未驗證的攻擊者可能會傳送蓄意製作的封包到目標 SMBv3 伺服器。為了利用用戶端的弱點,未驗證的攻擊者可能必須設定惡意 SMBv3 伺服器,然後引誘使用者連線到伺服器。
此漏洞目前已有攻擊程式碼。請參考https://github.com/chompie1337/SMBGhost_RCE_PoC。
影響平台:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
因應對策or建議措施:
1.緩解措施
停用 SMBv3 壓縮
使用下面的 PowerShell 命令來停用壓縮,防止未驗證的攻擊者利用 SMBv3 伺服器的這個漏洞。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force
2.請於評估後,進行修補作業。
微軟已於2020年3月發布更新程式,請參考
https://portal.msrc.microsoft.com/zh-TW/security-guidance/advisory/CVE-2020-0796
此安全性更新會更正 SMBv3 通訊協定處理這些蓄意製作之要求的方式,藉此解決漏洞。
CVSS向量:
CVE-2020-0796
使用版本:CVSS 3.0
分析分數:10
分析向量:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C
參考連結:
1.NVD
https://www.us-cert.gov/ncas/current-activity/2020/06/05/unpatched-microsoft-systems-vulnerable-cve-2020-0796
2.Microsoft
https://portal.msrc.microsoft.com/zh-TW/security-guidance/advisory/CVE-2020-0796
3.CERT Coordination Center
https://www.kb.cert.org/vuls/id/872016/
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202006-0001
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞