情資內容

概述: Microsoft Server Message Block 3.1.1 (SMBv3) 通訊協定處理特定要求的方式中存在遠端執行程式碼漏洞。成功利用漏洞的攻擊者可取得在目標伺服器或用戶端上執行程式碼的能力。 為了於伺服器端利用此漏洞，未經驗證的攻擊者可能會傳送特製的封包到目標 SMBv3 伺服器。為了於用戶端利用此漏洞，未驗證的攻擊者可能必須設定惡意 SMBv3 伺服器，然後引誘使用者連線到該伺服器方可成功。 exploit code請參考https://github.com/cve-2020-0796/cve-2020-0796 Microsoft已針對此漏洞發布修正程式，並提出緩解措施。 影響平台 Microsoft Windows 10 Version 1903及1909 因應對策or建議措施 1.修正程式請由下列連結下載(僅Windows 10 Version 1903與1909版須修正) https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762 2.可依Microsoft發布之緩解措施進行補強。 (1)伺服器端 停用 SMBv3 壓縮 您可以使用下面的 PowerShell 命令來停用壓縮，防止未驗證的攻擊者利用 SMBv3 伺服器的這個弱點。 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force 注意： 進行變更之後，不需要重新開機。 您可以使用下面的 PowerShell 命令停用緩解措施。 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force 注意： 停用因應措施之後，不需要重新開機。 (2)用戶端 目前無緩解措施。 Microsoft建議可於可於網路邊界防火牆設定規則管制，防止不明的SMB連線。 例如拒絕外部與內部雙向的Tcp 445網路連線。 相關資訊，請參考https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections CVSS向量 CVE-2020-0796 使用版本：CVSS 2.0 分析分數：10 分析向量：CVSS:2.0/ AV:N/AC:L/Au:N/C:C/I:C/A:C 參考連結 1. Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 2. National Vulnerability Database https://www.us-cert.gov/ncas/current-activity/2020/03/11/microsoft-server-message-block-rce-vulnerability 3.US CERT/CC https://www.kb.cert.org/vuls/id/872016/ 建議措施： 參考資料： 影響平台：