微軟又爆高危漏洞,小心電腦被遠程控制!

2020-03-13 來源:金山毒霸作者:安全豹

【漏洞說明】

2020年3月12日,微軟安全中心在3月份例行安全更新之后,單獨發布Windows SMBv3 客戶端/服務器遠程代碼執行漏洞(CVE-2020-0796)補丁程序,公告指出該漏洞存在于windows系統SMBv3協議解壓處理過程中,同時影響SMB服務端和客戶端。

攻擊者可以通過構造惡意數據包直接攻擊開啟SMB服務端口,或者通過構造惡意服務器誘導用戶連接點擊,均可實現遠程代碼執行攻擊效果。從影響范圍看,目前僅影響Windows10 1903和1909版本,不會影響 Windows 7、8、8.1 或XP等舊版本,目前暫時沒有在野攻擊案例被發現,但是漏洞相關技術細節和POC已經開始流傳,此漏洞造成蠕蟲式攻擊傳播的可能性和風險性在不斷提升,毒霸安全團隊建議廣大用戶及時更新官方漏洞補丁。


【影響范圍】

受影響的操作系統版本主要為支持SMBV3協議的win10系統(包含桌面版/服務器版),其他XP、Windows7、Windows 8等系統不受影響。

· Windows 10 Version 1903 for 32-bit Systems

· Windows 10 Version 1903 for ARM64-based Systems

· Windows 10 Version 1903 for x64-based Systems

· Windows 10 Version 1909 for 32-bit Systems

· Windows 10 Version 1909 for ARM64-based Systems

· Windows 10 Version 1909 for x64-based Systems

· Windows Server, version 1903 (Server Core installation)

· Windows Server, version 1909 (Server Core installation)


【簡要分析】

漏洞溢出點位于內核驅動程序srv2.sys,SMBv3.1.1協議處理壓縮數據時,沒有正確校驗客戶端傳遞數據包頭中的長度字段導致整數溢出漏洞。通過精心構造數據包即可簡單實現緩沖區溢出造成藍屏BSOD,實現遠程代碼執行還需結合其他漏洞和技術手法繞過WIN10安全緩解防護措施,預計很快就會有相關漏洞攻擊代碼披露傳播。

Lark20200313-145835


【修復建議】

1) 運行windows升級,及時更新微軟官方漏洞補丁,參考以下官方安全通告:

《ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression》

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005 

2) 修改注冊表禁用SMBV3壓縮特性,可參考如下powershell命令:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

3) 開啟毒霸安全防御,第一時間攔截相關漏洞攻擊和病毒木馬感染傳播。


? 金博棋牌下载