永恆之藍又來了,北京鎧撒提醒各電力企業及時處理
2020年3月10日,微軟官方發佈一條安全警報(ADV200005),稱發現Windows系統中存在一個遠程代碼執行漏洞(即CVE-2020-0796),該漏洞發生於Windows系統在處理SMBv3協議的某些特殊請求時,利用該漏洞可以在目標SMB服務器或SMB客戶端上執行任意代碼。
1、此漏洞危害:
該漏洞類似於“永恆之藍”的蠕蟲級高危漏洞。利用該漏洞,黑客可直接遠程攻擊SMB服務端遠程執行任意惡意代碼,亦可通過構建惡意SMB服務端誘導客戶端連接從而大規模攻擊客戶端。
受此影響的WINDOWS版本如下:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
除以上版本,其它系統比如Win XP、Windows 7等不會產生影響。
查看你的系統版本的方法是:鍵盤同時按住“Windows+R”鍵。在彈出運行窗口輸入“winver”命令,即可以查看具體版本號。
2、此漏洞原理:
SMB是Microsoft服務器消息塊(SMB)協議,是一項Microsoft網絡文件共享協議。在大部分windows系統中都是默認開啟的,用於在計算機間共享文件、打印機等。
Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源於SMBv3沒有正確處理壓縮的數據包,在解壓數據包的時候使用客戶端傳過來的長度進行解壓時,並沒有檢查長度是否合法,最終導致整數溢出。
北京鎧撒提醒各電力企業,若安裝有WINDOWS 10的終端系統以及WINDOWS SERVER服務器系統,請及時檢測該漏洞,並按照下文治理方法及時處理。
治理方法:
(1) 如果是windows 10,您可以禁止SMB壓縮功能,方法如下:
a. 通過手動修改註冊表,防止被黑客遠程攻擊:
運行regedit.exe,打開註冊表編輯器。
HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters建立一個名為DisableCompression的DWORD,值為1,禁止SMB的壓縮功能。
b. 暫時禁用SMBv3壓縮功能的方法:
使用管理員身份啟動PowerShell,複製以下命令執行。
Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters" DisableCompression -Type DWORD -Value 1 -Force
在防火牆中關閉445端口,方法如下:
win鍵+R 彈出運行對話框,輸入 firewall.cpl命令打開防火牆配置
入站規則—新建規則—特定端口—445—TCP—阻止聯接
(2) 如果是WINDOWS SERVER,方法如下:
下載對應版本安全補丁進行更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
詳情到此官方網站查詢:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
閱讀更多 趙老師話安全 的文章
