首页 | 中心简介 | 规章制度 | 办公电话 | 党工团阵地
您现在的位置: 首页>>公告通知>>
  公告通知

关于与“永恒之蓝”原理类似的SMBv3.0服务远程代码执行漏洞的风险提示

【发布时间:2020-03-12】 【访问量:

  校属各部门:

  2020310日,微软官方发布了针对Windows10/Server禁用SMBv3SMB3.1.1版本)协议压缩的指南公告,以此缓解SMBv3协议(用于文件共享与打印服务)在处理调用请求时的一个远程代码执行漏洞(漏洞编号CVE-2020-0796)。SMBv3协议同时启用于SMB服务端和SMB客户端,未经身份验证的攻击者可以对服务端和客户端分别进行攻击,通过向受影响的SMBv3服务器发送特制的压缩数据包来攻击服务端,还可以通过配置恶意SMBv3服务器并诱导用户连接来攻击客户端,攻击成功可在目标机器上执行任意代码。综合各方消息,该漏洞原理与“永恒之蓝”类似,存在被蠕虫化利用的可能。

  目前微软没有发布漏洞详情及补丁,但从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级,潜在威胁较大。

  微软禁用SMBv3SMB3.1.1版本)协议压缩的指南公告https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

  影响范围包括以下操作系统:

  Windows 10 Version 1903 for 32-bitSystems

  Windows 10 Version 1903 for ARM64-basedSystems

  Windows 10 Version 1903 for x64-based Systems

  Windows 10 Version 1909 for 32-bitSystems

  Windows 10 Version 1909 for ARM64-based Systems

  Windows 10 Version 1909 for x64-based Systems

  Windows Server, version 1903 (Server Core installation)

  Windows Server, version 1909 (Server Coreinstallation)

  处置建议:

  1.微软给出的临时缓解措施:通过PowerShell命令禁用SMBv3压缩功能(是否使用需要结合业务进行判断),以阻止未经身份验证的恶意攻击者对SMBv3服务端的漏洞利用:Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters DisableCompression -Type DWORD -Value 1 -Force执行此操作无需重启系统,但对SMBv3客户端无效,取消禁用可以执行以下命令:Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters DisableCompression -Type DWORD -Value 0-Force

  2.若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/445);

  3.提醒全员保持良好办公习惯,不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染病毒;

  4.关注微软官方公告,及时升级官方补丁。

  请各部门高度重视,认真开展排查,查找问题隐患,迅速整改到位。

        

江西财经大学网络信息管理中心      

  2020年3月12日               

 

版权所有 Copyright @ 2015 江西财经大学网络信息管理中心

地址:江西财经大学蛟桥校区 邮编:330013