永恒之蓝又来了,北京铠撒提醒各电力企业及时处理
2020年3月10日,微软官方发布一条安全警报(ADV200005),称发现Windows系统中存在一个远程代码执行漏洞(即CVE-2020-0796),该漏洞发生于Windows系统在处理SMBv3协议的某些特殊请求时,利用该漏洞可以在目标SMB服务器或SMB客户端上执行任意代码。
1、此漏洞危害:
该漏洞类似于“永恒之蓝”的蠕虫级高危漏洞。利用该漏洞,黑客可直接远程攻击SMB服务端远程执行任意恶意代码,亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。
受此影响的WINDOWS版本如下:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
除以上版本,其它系统比如Win XP、Windows 7等不会产生影响。
查看你的系统版本的方法是:键盘同时按住“Windows+R”键。在弹出运行窗口输入“winver”命令,即可以查看具体版本号。
2、此漏洞原理:
SMB是Microsoft服务器消息块(SMB)协议,是一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。
Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。
北京铠撒提醒各电力企业,若安装有WINDOWS 10的终端系统以及WINDOWS SERVER服务器系统,请及时检测该漏洞,并按照下文治理方法及时处理。
治理方法:
(1) 如果是windows 10,您可以禁止SMB压缩功能,方法如下:
a. 通过手动修改注册表,防止被黑客远程攻击:
运行regedit.exe,打开注册表编辑器。
HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。
b. 暂时禁用SMBv3压缩功能的方法:
使用管理员身份启动PowerShell,复制以下命令执行。
Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" DisableCompression -Type DWORD -Value 1 -Force
在防火墙中关闭445端口,方法如下:
win键+R 弹出运行对话框,输入 firewall.cpl命令打开防火墙配置
入站规则—新建规则—特定端口—445—TCP—阻止联接
(2) 如果是WINDOWS SERVER,方法如下:
下载对应版本安全补丁进行更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
详情到此官方网站查询:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
閱讀更多 趙老師話安全 的文章