近日,奇安信威胁情报中心发布了微软WindowsSMBv3服务远程代码执行漏洞公告。公告称,3月11日,国外某公司发布了微软近期安全补丁包设计的漏洞汇总,其中包括一个SMB服务远程代码执行漏洞,威胁等级为Critical(漏洞编号为CVE-2020-0796),该漏洞存在于WindowsSMBv3(文件共享和打印服务)中。据该公司描述,攻击者可利用该漏洞远程发送专门构建的恶意数据,无需用户认证即可导致恶意代码在目标系统上执行,从而获得对机器的完全控制权。奇安信威胁情报中心红雨团队提醒,利用该漏洞可稳定导致系统崩溃。有关该漏洞存在的信息已经传播开来,有迹象表明黑客组织正在积极研究漏洞细节并试图利用它,构成潜在的安全威胁。支持该协议的设备包括Windows8、Windows8.1、Windows10、WindowsServer2012和WindowsServer2016,但从微软的公告来看,受影响的目标主要是Win10系统。值得注意的是,根据市场调研机构NetMarketShare的数据,目前Win10系统的市场份额为57.39%,而随着Win7操作系统的正式停产,这一比例还将继续增长。因此,考虑到相关设备的数量级,该漏洞潜在威胁较高,存在被广泛利用的可能性,如永恒之蓝事件。目前微软已经发布了相应的安全补丁,奇安信强烈建议用户立即安装补丁,避免该漏洞带来的风险。补丁安装可以访问以下链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796如果临时不方便安装补丁,微软建议执行以下命令禁用SMB3.0压缩功能:
