信息來源：FreeBuf

微軟發(fā)布了KB4551762安全更新，修復(fù)了在微軟服務(wù)器消息塊3.1.1（SMBv3）中發(fā)現(xiàn)的預(yù)授權(quán)RCE Windows 10漏洞。在2020年3月補(bǔ)丁星期二活動(dòng)日披露了關(guān)于該漏洞的細(xì)節(jié)，兩天后公布安全更新。

根據(jù)微軟的說法，KB4551762安全更新（CVE-2020-0796）解決的是“網(wǎng)絡(luò)通信協(xié)議的問題，它提供共享訪問文件、打印機(jī)和串行端口”?？梢酝ㄟ^Windows Update檢查更新或通過從Microsoft Update目錄手動(dòng)下載Windows版本來安裝KB4551762安全更新 。

手動(dòng)下載地址：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

微軟表示：“雖然我們沒有發(fā)現(xiàn)利用此漏洞的攻擊，但我們建議用戶盡快在受影響設(shè)備安裝此更新?！痹撀┒幢环Q為SMBGhost或 EternalDarkness，僅影響運(yùn)行Windows 10版本1903和1909以及Windows Server Core安裝版本1903和1909的設(shè)備。

微軟解釋，此漏洞僅存在于Windows 10版本1903中添加的一項(xiàng)新功能中，而舊版本的Windows不提供對(duì)SMBv3.1.1壓縮的支持，因此這個(gè)漏洞不影響舊版本。

SMBv3 RCE漏洞

在2020年3月的補(bǔ)丁程序星期二披露漏洞消息之后，Microsoft Active Protections計(jì)劃的部分安全供應(yīng)商獲取漏洞細(xì)節(jié)時(shí)，微軟才披露CVE-2020-0796的詳細(xì)信息。

當(dāng)時(shí)，微軟發(fā)布了一份公告，其中包含有關(guān)漏洞細(xì)節(jié)和緩解措施的詳情。在SMBv3中存在蠕蟲級(jí)的預(yù)授權(quán)RCE漏洞的消息傳開后，希望這份公告可以幫助用戶防范潛在攻擊。

在微軟 Server Message Block 3.1.1（SMBv3）協(xié)議處理某些請(qǐng)求時(shí)，他們意識(shí)到了遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以獲得在SMB服務(wù)器或SMB客戶端上執(zhí)行代碼的能力。未經(jīng)身份驗(yàn)證的攻擊者要利用此漏洞攻擊SMB服務(wù)器，可以向SMBv3目標(biāo)服務(wù)器發(fā)送特制數(shù)據(jù)包。而利用此漏洞攻擊SMB客戶端的，需要配置惡意的SMBv3服務(wù)器，并誘使用戶進(jìn)行連接。

對(duì)于暫時(shí)無法應(yīng)用此安全更新的管理員，微軟提供了針對(duì)SMB服務(wù)器的緩解措施，并建議使用此PowerShell命令禁用SMBv3壓縮（無需重新啟動(dòng)，不會(huì)阻止SMB客戶端的利用）：

Set-ItemProperty -Path 

"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression -TypeDWORD -Value1-Force

此外，還建議企業(yè)客戶在企業(yè)外圍防火墻處阻止TCP端口445，防止試圖利用此漏洞對(duì)SMB服務(wù)器進(jìn)行攻擊。

盡管到目前為止尚未檢測(cè)到針對(duì)Windows 10系統(tǒng)的惡意掃描，但仍要密切關(guān)注針對(duì)未打補(bǔ)丁設(shè)備的攻擊，因?yàn)橐呀?jīng)開發(fā)出PoC漏洞利用并且漏洞分析較為簡單。