永恒之蓝又来了,赵老师提醒各电力企业及时处理


永恒之蓝又来了,北京铠撒提醒各电力企业及时处理

2020年3月10日,微软官方发布一条安全警报(ADV200005),称发现Windows系统中存在一个远程代码执行漏洞(即CVE-2020-0796),该漏洞发生于Windows系统在处理SMBv3协议的某些特殊请求时,利用该漏洞可以在目标SMB服务器或SMB客户端上执行任意代码。

1、此漏洞危害

该漏洞类似于“永恒之蓝”的蠕虫级高危漏洞。利用该漏洞,黑客可直接远程攻击SMB服务端远程执行任意恶意代码,亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。

受此影响的WINDOWS版本如下:

Windows 10 Version 1903 for 32-bit Systems


Windows 10 Version 1903 for x64-based Systems


Windows 10 Version 1903 for ARM64-based Systems


Windows Server, version 1903 (Server Core installation)


Windows 10 Version 1909 for 32-bit Systems


Windows 10 Version 1909 for x64-based Systems


Windows 10 Version 1909 for ARM64-based Systems


Windows Server, version 1909 (Server Core installation)


除以上版本,其它系统比如Win XP、Windows 7等不会产生影响。

查看你的系统版本的方法是:键盘同时按住“Windows+R”键。在弹出运行窗口输入“winver”命令,即可以查看具体版本号。

2、此漏洞原理

SMB是Microsoft服务器消息块(SMB)协议,是一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。

Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。

北京铠撒提醒各电力企业,若安装有WINDOWS 10的终端系统以及WINDOWS SERVER服务器系统,请及时检测该漏洞,并按照下文治理方法及时处理。

治理方法:

(1) 如果是windows 10,您可以禁止SMB压缩功能,方法如下:

a. 通过手动修改注册表,防止被黑客远程攻击:

运行regedit.exe,打开注册表编辑器。

HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。

b. 暂时禁用SMBv3压缩功能的方法:

使用管理员身份启动PowerShell,复制以下命令执行。

Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" DisableCompression -Type DWORD -Value 1 -Force

在防火墙中关闭445端口,方法如下:

win键+R 弹出运行对话框,输入 firewall.cpl命令打开防火墙配置

入站规则—新建规则—特定端口—445—TCP—阻止联接

(2) 如果是WINDOWS SERVER,方法如下:

下载对应版本安全补丁进行更新:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

详情到此官方网站查询:


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005



分享到:


相關文章: