2020年3月11日,微软发布本月安全公告,其中包括“蠕虫型”远程代码执行漏洞(CVE-2020-0796)和“震网级”LNK漏洞(CVE-2020-0684)。启明星辰公司提醒广大用户尽快升级系统补丁或采用相应的防护措施。

CVE-2020-0796

  • 漏洞描述

CVE-2020-0796是存在于微软服务器消息块3.0 (SMBv3)协议中的蠕虫级漏洞,目前尚未得到修复。

安全公司Cisco Talos和Fortinet在其网站上公布了 CVE-2020-0796漏洞的技术细节。该漏洞是由SMBv3处理恶意压缩数据包时进入错误流程造成的,远程的未经身份验证的攻击者可以利用该漏洞在应用程序上下文中执行任意代码。该漏洞与“Eternal Blue”都是存在于smb协议的漏洞,并且是远程可利用漏洞,或将成为下一代勒索病毒攻击目标首选方式。由于该漏洞与“Eternal Blue ”相似,推特已经开始尝试将其命名为“Corona Blue”。

  • 防护方案

(1)禁用SMBv3压缩,使用以下PowerShell命令可禁用SMBv3服务的压缩(无需重新启动):

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

(2)关闭445端口,防御利用该漏洞的攻击。

  • 影响版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

CVE-2020-0684

  • 漏洞描述

CVE-2020-0684存在于LNK文件的处理过程中,和2010年震网病毒所使用的漏洞CVE-2010-2568以及2017年微软修复的漏洞CVE-2017-8464类似。攻击者可以通过恶意构造的LNK文件诱使受害者以其自身的用户权限执行任意代码,微软将其严重等级定义为Critical。

尽管微软宣布不再为win7提供安全更新,win7用户仍旧可以下载针对该漏洞的补丁。

  • 防护方案

(1)系统升级至最新补丁。

(2)未下载补丁的用户应尽量避免接收他人发送过来的LNK文件或打开存有LNK文件的存储设备,如打开陌生人提供的U盘。

  • 影响版本

(以下仅列出受影响系统的大版本号,详细的影响版本信息参见参考链接5。)

Windows 10

Windows 10 Version 1607

Windows 10 Version 1709

Windows 10 Version 1803

Windows 10 Version 1809

Windows 10 Version 1903

Windows 10 Version 1909

Windows 7 Service Pack 1

Windows 8.1

Windows RT 8.1

Windows Server 2008 Service Pack 2

Windows Server 2008 R2 Service Pack 1

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server, version 1803

Windows Server, version 1903

Windows Server, version 1909

参考链接:

1.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

2.https://fortiguard.com/encyclopedia/ips/48773

3.https://twitter.com/search?q=CVE-2020-0796&src=typed_query

4.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

5.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0684

声明:本文来自ADLab,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。