网络安全
当前位置: 首页>>网络安全>>安全公告>>正文
关于Windows SMBv3代码执行高危漏洞的安全公告
2020-03-13     (点击: )

大工网安告[2020]011号

一、情况分析

关于SMB协议漏洞

SMB(Server Message Block)协议是微软实现的Windows系统下文件、打印机共享功能的协议,近期出现的CVE-2020-0796漏洞存在于新式的SMB协议,即SMBv3,协议信息可以参考微软的公开文档[MS-SMB2].pdf。微软已发布该漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

漏洞原理

SMBv3版本协议开始支持压缩类型的SMB数据通信,SMB消息的接收端在处理某些字段时未进行校验,其中存在两个问题,其一是在计算内存大小时存在整数向上溢出,使得实际分配内存过小,导致越界写入,其二是存在内存向下溢出,导致泄露内核某些地址的数据。这2个漏洞若能配合其他漏洞,比如远程控制内存分配的漏洞,可能会导致进一步任意代码执行漏洞,从而造成严重影响。被攻击后服务器端会蓝屏重启。

根据微软文档说明,Windows 10 v1903和Windows Server v1903及之后的操作系统支持这种压缩格式的字段,所以较新版本的操作系统会受到老漏洞影响,但是老版本操作系统也引入了SMBv3协议,则也会一样会受到漏洞影响。

SMB漏洞一旦被攻击者完善成为稳定的代码执行漏洞,将极有可能被勒索病毒软件用于进行蠕虫传播,建议Windows用户采取措施进行防护。

二、影响范围

Windows 10 v1903及之后版本

Windows Server v1903及之后版本

其他开启了SMBv3版本的Windows系统

三、处置方法

补丁修复

下载微软最新发布的补丁,链接地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

1.通过我的电脑-->属性 查看系统属于32位还是64位

2.在cmd命令下输入winver查看具体的Windows版本

3.下载对应的Windows补丁版本进行修复。