一、情况分析
关于SMB协议漏洞
SMB(Server Message Block)协议是微软实现的Windows系统下文件、打印机共享功能的协议,近期出现的CVE-2020-0796漏洞存在于新式的SMB协议,即SMBv3,协议信息可以参考微软的公开文档[MS-SMB2].pdf。微软已发布该漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
漏洞原理
SMBv3版本协议开始支持压缩类型的SMB数据通信,SMB消息的接收端在处理某些字段时未进行校验,其中存在两个问题,其一是在计算内存大小时存在整数向上溢出,使得实际分配内存过小,导致越界写入,其二是存在内存向下溢出,导致泄露内核某些地址的数据。这2个漏洞若能配合其他漏洞,比如远程控制内存分配的漏洞,可能会导致进一步任意代码执行漏洞,从而造成严重影响。被攻击后服务器端会蓝屏重启。
根据微软文档说明,Windows 10 v1903和Windows Server v1903及之后的操作系统支持这种压缩格式的字段,所以较新版本的操作系统会受到老漏洞影响,但是老版本操作系统也引入了SMBv3协议,则也会一样会受到漏洞影响。
SMB漏洞一旦被攻击者完善成为稳定的代码执行漏洞,将极有可能被勒索病毒软件用于进行蠕虫传播,建议Windows用户采取措施进行防护。
二、影响范围
Windows 10 v1903及之后版本
Windows Server v1903及之后版本
其他开启了SMBv3版本的Windows系统
三、处置方法
补丁修复
下载微软最新发布的补丁,链接地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
1.通过我的电脑-->属性 查看系统属于32位还是64位
2.在cmd命令下输入winver查看具体的Windows版本
3.下载对应的Windows补丁版本进行修复。
