2020年3月11日，阿里云应急响应中心监测到微软官方发布安全公告，披露某些Windows版本的SMBv3协议实现压缩功能存在一处远程代码执行漏洞。成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。目前微软官方已提供安全补丁，并提供了无需安装补丁的缓解措施。

漏洞描述

针对SMBv3服务器，攻击者可以将特制的数据包发送到SMB服务器来触发漏洞。若要针对SMBv3客户端，攻击者需要配置好一个恶意的SMB服务器，并诱使用户连接该服务器。另据国外安全媒体报道，该漏洞（CVE-2020-0796）具有蠕虫特性。漏洞只影响Windows 10系统和Server 1903、1909系统版本，不影响主流的Windows Server 2008/2012/2016/2019系统，整体风险较低。

漏洞评级

CVE-2020-0796 高危

影响版本

Windows Server, version 1909 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems

修复方案

针对使用受漏洞影响的Windows系统版本的用户，可采用以下任意方式来进行修复或者缓解：

1. 前往微软官方下载相应补丁进行更新: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 。

2. 使用注册表禁用SMBv3 的compression功能来达到漏洞缓解，命令如下：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

3. 关闭SMB服务端口，禁止139和445端口对外部开放。安全组相应设置参考如下

相关链接

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/adv200005

https://www.zdnet.com/article/details-about-new-smb-wormable-bug-leak-in-microsoft-patch-tuesday-snafu/

https://blog.talosintelligence.com/2020/03/microsoft-patch-tuesday-march-2020.html

阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测

阿里云云防火墙已可防御此漏洞攻击

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.3.11