在火絨發佈通告後，微軟在昨日晚間針對其最新漏洞CVE-2020-0796，發佈了修復補丁。

該漏洞會使攻擊者無需身份認證即可進行遠程攻擊，是與“永恆之藍“漏洞類似的“蠕蟲級別”的高危漏洞。火絨安全軟件（個人版、企業版）已經推送補丁，建議受影響的用戶儘快進行修復。

1、 【影響範圍】

該漏洞影響的版本只有Win10的1903和1909兩個版本（包括32位、64位Windows，包括家用版、專業版、企業版、教育版），其他系統不受影響（包括WinXP、Win7）。

具體列表如下：

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)

對於正在使用 windows 10 insider preview版本的用戶，雖然微軟沒有提及，但是屬於1903之後的版本，火絨工程師建議也按照修復方法（3）進行暫時禁用。

2、 【修復方法】

（1）下載微軟官方提供的補丁

補丁鏈接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

（2）火絨個人版和企業版的“漏洞修復”功能模塊均已完成緊急升級，通過【漏洞修復】功能即可修復該漏洞。

（不同版本對應補丁號）

個人用戶在可以在軟件“安全工具”中，下載“漏洞修復”工具，點擊“開始掃描”即可。

企業用戶管理員可通過“管理中心”-“漏洞修復”派發策略，統一掃描、修復終端漏洞。

（3）內網等不便安裝更新的用戶，可以使用微軟官方給出的臨時防禦措施，停用 SMBv3 中的壓縮功能：

管理員身份打開powershell（鍵盤Windows+X，選擇Windows powershell（管理員）），複製以下命令運行：

Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" DisableCompression -Type DWORD -Value 1 -Force

3、 【其他問題】

（1）修復漏洞後如何恢復禁用的功能

管理員身份打開powershell，複製以下命令運行：

Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" DisableCompression -Type DWORD -Value 0 -Force

（2）如何校驗禁用/恢復命令成功

管理員身份打開powershell，複製以下命令運行：

Get-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" | select DisableCompression

返回1即禁用成功，返回0即恢復成功。

（3）為什麼舊版本不受影響

因為該漏洞存在於Windows 10 1903版中添加的一項新功能中。舊版Windows不支持SMBv3.1.1壓縮。

閱讀更多 火絨安全實驗室 的文章

關鍵字: 蠕蟲 微軟 PowerShell