2020-03-19 12:39:22 中山網警

近日，Windows SMBv3客戶端/服務器被發現存在遠程代碼執行漏洞（CVE-2020-0796），攻擊者可以精心構造數據包發送到SMB服務器且無需經過身份驗證即可在目標服務器上執行任意代碼。

該漏洞危害性較大，預測可能在未來會成為被惡意軟件和攻擊者廣泛利用，目前該漏洞細節已公開，且微軟更新通告針對該漏洞緊急發佈了安全補丁，請各單位高度重視並及時落實網絡安全防護措施，築牢網絡安全防線。

一、事件信息

（一）事件概要

（二）漏洞描述

該漏洞是由於Microsoft Server Message Block 3.1.1(SMBv3)協議在處理某些請求的方式中存在代碼執行漏洞所造成的，攻擊者可通過部署一臺惡意SMB v3服務器，並誘導用戶（客戶端）連接到該服務器，一旦目標用戶連接，即可在計算機上執行攻擊者自定義的惡意代碼。

（三）影響範圍

CVE-2020-0796受影響版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

二、處置建議

（一）排查方案

檢查是否使用1903或1909操作系統版本：

（1）右鍵點擊左下角Windows圖標，選擇“設置”；

（2）點擊“系統”，選擇左側的 “關於”選項卡；

（3）查看“Windows規格”中的“版本號”，如果版本號顯示為1903或1909，則證明受此漏洞影響，建議立即安裝補丁。

在受影響範圍內的操作系統中，可執行以下命令查看補丁安裝的情況：

（1）在cmd命令中執行“systeminfo | findstr KB4551762”，如果沒有查詢到KB4551762補丁，則該系統存在安全風險。

（二）解決方案

微軟官方已針對該漏洞發佈了安全補丁KB4551762，建議受影響用戶開啟系統自動更新安裝該補丁進行防護。

注：由於網絡問題、計算機環境問題等原因，Windows Update的補丁更新可能出現失敗。用戶在安裝補丁後，應及時檢查補丁是否成功更新。右鍵點擊桌面左下角的Windows圖標，選擇“設置(N)”，選擇“更新和安全”-“Windows更新”，查看該頁面上的提示信息，也可點擊“查看更新歷史記錄”查看歷史更新情況，確認其中是否包含“KB4551762”

若出現未成功安裝更新補丁的情況，可從官網下載離線安裝包進行更新，下載鏈接如下：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762