在火絨發佈通告後,微軟在昨日晚間針對其最新漏洞CVE-2020-0796,發佈了修復補丁。
該漏洞會使攻擊者無需身份認證即可進行遠程攻擊,是與“永恆之藍“漏洞類似的“蠕蟲級別”的高危漏洞。火絨安全軟件(個人版、企業版)已經推送補丁,建議受影響的用戶儘快進行修復。
1、 【影響範圍】
該漏洞影響的版本只有Win10的1903和1909兩個版本(包括32位、64位Windows,包括家用版、專業版、企業版、教育版),其他系統不受影響(包括WinXP、Win7)。
具體列表如下:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)
對於正在使用 windows 10 insider preview版本的用戶,雖然微軟沒有提及,但是屬於1903之後的版本,火絨工程師建議也按照修復方法(3)進行暫時禁用。
2、 【修復方法】
(1)下載微軟官方提供的補丁
補丁鏈接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
(2)火絨個人版和企業版的“漏洞修復”功能模塊均已完成緊急升級,通過【漏洞修復】功能即可修復該漏洞。
個人用戶在可以在軟件“安全工具”中,下載“漏洞修復”工具,點擊“開始掃描”即可。
企業用戶管理員可通過“管理中心”-“漏洞修復”派發策略,統一掃描、修復終端漏洞。
(3)內網等不便安裝更新的用戶,可以使用微軟官方給出的臨時防禦措施,停用 SMBv3 中的壓縮功能:
管理員身份打開powershell(鍵盤Windows+X,選擇Windows powershell(管理員)),複製以下命令運行:
Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" DisableCompression -Type DWORD -Value 1 -Force
3、 【其他問題】
(1)修復漏洞後如何恢復禁用的功能
管理員身份打開powershell,複製以下命令運行:
Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" DisableCompression -Type DWORD -Value 0 -Force
(2)如何校驗禁用/恢復命令成功
管理員身份打開powershell,複製以下命令運行:
Get-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" | select DisableCompression
返回1即禁用成功,返回0即恢復成功。
(3)為什麼舊版本不受影響
因為該漏洞存在於Windows 10 1903版中添加的一項新功能中。舊版Windows不支持SMBv3.1.1壓縮。
閱讀更多 火絨安全實驗室 的文章