九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

防护计划来了！Windows SMBv3远程代码执行误差 (CVE-2020-0796)

2020-03-11

一、综述

北京时间3月11日，微软宣布了3月清静补丁更新，其中包括一条清静通告称其已经相识到在Microsoft Server Message Block 3.1.1(SMBv3)中保存一个远程代码执行误差，乐成使用该误差的攻击者可以在目的SMB服务器或SMB客户端上执行代码。该误差源于SMBv3协议关于特定请求的处置惩罚方法保存过失，攻击者可以在未经身份验证的情形下使用该误差。

若要针对SMBv3服务器，攻击者可以将特制的数据包发送到SMB服务器来触发。若要针对SMBv3客户端，攻击者需要设置好一个恶意的SMB服务器，并诱使用户毗连该服务器。

九游老哥科技已在第一时间复现了使用该误差的历程，效果如下所示:

九游老哥·(中国)俱乐部官方网站

现在微软已经宣布补丁举行了修复。

鉴于该误差潜在威胁大，强烈建议用户尽快接纳相关防护步伐举行防护。

参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

二、误差影响规模

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

三、防护计划

3.1 官方修复计划

3.1.1 清静补丁

微软官方已针对受影响产品宣布了清静补丁KB4551762，强烈建议受影响用户开启系统自动更新装置补丁举行防护。

如需单独装置，官方提供的补丁下载地点如下。

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

3.1.2 暂时防护

无法装置更新的用户可通过以下Powershell下令来禁用SMBv3中的压缩功效，对SMBv3 Server举行暂时防护：

	1
2

	Set-ItemProperty -Path 
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force

注重：

1. 以上下令不需要重启即可生效。

2. 以上下令仅可以用来暂时防护针对SMB服务器（SMB SERVER）的攻击，攻击者照旧可以使用该误差来攻击SMB客户端（SMB Client）。

3. 请参阅并遵照微软的指导来�；MB client。

https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections

4. 禁用SMB压缩不会对性能造成负面影响。

更多详情请参考微软官方通告：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

3.2 九游老哥科技检测防护建议

3.2.1 九游老哥科技检测类产品与服务

内网资产可以使用九游老哥科技的远程清静评估系统（RSAS V6）、入侵检测系统(IDS)、统一威胁探针（UTS）举行检测。

远程清静评估系统（RSAS V6）

http://update.nsfocus.com/update/listRsas

入侵检测系统（IDS）

http://update.nsfocus.com/update/listIds

统一威胁探针（UTS）

http://update.nsfocus.com/update/bsaUtsIndex

3.2.1.1 检测产品升级包/规则版本号

九游老哥·(中国)俱乐部官方网站

RSAS V6升级包下载链接：

http://update.nsfocus.com/update/downloads/id/103169

注：“Microsoft SMBv3远程代码执行误差(CVE-2020-0796)【原理扫描】” 此插件为危险插件，可能造成受此误差影响的主机蓝屏、重启、关闭等异常。默认不开启，如需要，请开启危险插件后举行扫描。

IDS 升级包下载链接：

5.6.10.22154

http://update.nsfocus.com/update/downloads/id/103168

5.6.9.22154

http://update.nsfocus.com/update/downloads/id/103167

UTS 升级包下载链接：

http://update.nsfocus.com/update/downloads/id/103172

3.2.2 九游老哥科技防护类产品

使用九游老哥科技防护类产品，入侵防护系统（IPS）来举行防护。

入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

3.2.2.1 防护产品升级包/规则版本号

九游老哥·(中国)俱乐部官方网站

IPS 规则升级包下载链接：

5.6.10.22154

http://update.nsfocus.com/update/downloads/id/103168

5.6.9.22154

http://update.nsfocus.com/update/downloads/id/103167

3.2.3 清静平台

九游老哥·(中国)俱乐部官方网站

四、手艺剖析

误差原理

该误差CVE-2020-0796(又名SMBGhost)源于SMB v3的数据压缩功效。在SMB v3中微软引入了数据压缩的功效，通过与服务器的前期交互，可以设定传输经由压缩的数据，从而增添效率。然而在包括压缩数据的SMB包中，攻击者可以通过控制相关字段，使得程序在申请存储数据的缓冲区时爆发溢出，从而使得目的系统蓝屏拒绝服务。

五、附录产品/平台使用指南

5.1 RSAS扫描设置

在系统升级中，点击下图红框位置选择文件。

九游老哥·(中国)俱乐部官方网站

选择下载好的响应升级包，点击升级按钮举行手动升级。期待升级完成后，可通过定制扫描模板，针对此误差举行扫描。

5.2 UTS检测设置

在系统升级中点击离线升级，选择规则升级文件，选择对应的升级包文件，点击上传，并期待升级乐成即可。

九游老哥·(中国)俱乐部官方网站

5.3 IPS防护设置

5.3.1 在系统升级中点击离线升级，选择系统规则库，选择对应的文件，点击上传。

九游老哥·(中国)俱乐部官方网站

5.3.2 更新乐成后，在系统默认规则库中查找规则编号，即可盘问到对应的规则详情。

九游老哥·(中国)俱乐部官方网站

注重事项：该升级包升级后引擎自动重启生效，不会造成会话中止，但ping包会丢3~5个，请选择合适的时间升级。

5.4 ISOP 九游老哥智能清静运营平台

第一步：登录ISOP平台，点击系统升级，如下图所示：

九游老哥·(中国)俱乐部官方网站

第二步：在“统一规则库升级”中选择“攻击识别规则包”，将下载的最新版本规则包导入上传，并点击升级即可。

九游老哥·(中国)俱乐部官方网站

<<上一篇

「误差通告」Apache ShardingSphere远程代码执行（CVE-2020-1947）

>>下一篇

NetWire木马控制者最先投放nCoV-19疫情诱饵文档

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号