这篇文章上次修改于 1358 天前,可能其部分内容已经发生变化,如有疑问可询问作者。

tu1

0x1漏洞简介:

       最新的Windows 10中,在处理SMB 3.1.1协议的压缩消息时,对头部数据没有做任何安全检查,直接使用,从而引发内存破坏漏洞。黑客无须任何权限,即可利用该漏洞实现远程内核代码执行。受黑客攻击的目标系统只需开机在线,即有可能被入侵。

       腾讯安全团队研究发现,除了直接攻击SMB服务端造成任意代码执行外,该漏洞还存在于SMB客户端,这使得攻击者可以构造恶意的SMB服务器,并通过网页、压缩包、共享目录、OFFICE文档等多种方式传递给目标用户,触发漏洞进行攻击,即使目标机器已经禁用SMB压缩功能,甚至关闭了445端口,仍然会受到威胁,仍然会触发漏洞。

影响范围:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
几乎包括win10所有版本

0x3验证与修复:

下载CVE-2020-0796扫描器

修复办法,在powershell中执行:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force