各二级院(部)、处(室、中心、馆):

  微软官方于2020年3月10日发布了针对Windows 10/Server禁用SMBv3(SMB 3.1.1版本)协议压缩的指南公告,以此缓解SMBv3协议(用于文件共享与打印服务)在处理调用请求时的一个远程代码执行漏洞(漏洞编号CVE-2020-0796)。目前微软没有发布漏洞详情及补丁,但从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级,潜在威胁较大,请相关单位及时采取防护措施。

  一、漏洞概述
  SMBv3协议同时启用于SMB服务端和SMB客户端,未经身份验证的攻击者可以对服务端和客户端分别进行攻击,通过向受影响的SMBv3服务器发送特制的压缩数据包来攻击服务端,还可以通过配置恶意SMBv3服务器并诱导用户连接来攻击客户端,攻击成功可在目标机器上执行任意代码。综合各方消息,该漏洞原理与“永恒之蓝”类似,存在被蠕虫化利用的可能。
  微软禁用SMBv3(SMB 3.1.1版本)协议压缩的指南公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisorv/ADV200005

  二、影响范围
  Windows 10 Version 1903 for 32-bit Systems
  Windows 10 Version 1903 for ARM64-based Systems
  Windows 10 Version 1903 for x64-based Systems
  Windows 10 Version 1909 for 32-bit Systems
  Windows 10 Version 1909 for ARM64-based Systems
  Windows 10 Version 1909 for x64-based Systems
  Windows Server,version 1903(Server Coreinstallation)
  Windows Server,version 1909(Server Coreinstallation)

  三、处置建议
  1、微软给出的临时缓解措施:通过PowerShell命令禁用SMBv3压缩功能(是否使用需要结合业务进行判断),以阻止未经身份验证的恶意攻击者对SMBv3服务端的漏洞利用:Set-ltemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression-Type DWORD-Value 1-Force
  执行此操作无需重启系统,但对SMBv3客户端无效,取消禁用可以执行以下命令:Set-ltemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"DisableCompression-Type DWORD-Value 0-Force
  2、若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/445);
  3、保持良好办公习惯,不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染病毒;
  4、关注微软官方公告,及时升级官方补丁。

  各单位遇有相关安全问题,请及时与信息中心联系。

信息中心
2020年3月17日