关于防范微软SMBv3远程代码执行漏洞(CVE-2020-0796)和LNK漏洞
发布日期:2020年-03月-30日
   2020年3月11日,微软发布2020年3月安全公告,其中包括“蠕虫型”SMBv3远程代码执行漏洞(CVE-2020-0796)和“震网级”LNK漏洞(CVE-2020-0684)。根据微软漏洞公告和有关安全厂商通报,存在漏洞的主机可被攻击者利用,实现无须权限即可执行远程代码而被入侵,并存在被勒索病毒利用造成更大损失的可能。请广大师生尽快升级系统补丁或采用相应的防护措施,避免被勒索病毒攻击和发生网络安全事件。漏洞具体情况如下:

一、微软SMBv3远程代码执行漏洞(CVE-2020-0796)

1、漏洞描述

          微软SMBv3远程代码执行漏洞(SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。

2、影响范围

         该漏洞不影响Windows7,漏洞影响Windows10 1903之后的32位、64位Windows版本,包括家用版、专业版、企业版、教育版。具体列表如下:

        Windows 10 Version 1903 for 32-bit Systems

        Windows 10 Version 1903 for x64-based Systems

        Windows 10 Version 1903 for ARM64-based Systems

        Windows Server, Version 1903 (Server Core installation)

        Windows 10 Version 1909 for 32-bit Systems

        Windows 10 Version 1909 for x64-based Systems

        Windows 10 Version 1909 for ARM64-based Systems

        Windows Server, Version 1909 (Server Core installation)

3、漏洞类型

        远程代码执行

4、漏洞等级

        高危

5、防护方案

       1)直接运行Windows更新,完成Windows10 2020年3月累积更新补丁的安装。

       操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。

       2)也可以访问微软该漏洞官方页面(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796),选择相应Windows版本的安全更新,独立安装该漏洞安全补丁。

       3)也可以通过手动修改注册表,防止被黑客远程攻击:

       在命令行下运行regedit.exe,打开注册表编辑器,在HKLM/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。

       4)也可以通过安全厂商的漏洞检验和修复工具来检查是否存在漏洞和进行漏洞修复。

       如:腾讯电脑管家的漏洞扫描修复功能安装补丁,或单独下载SMB远程代码漏洞修复工具(http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe)。

 

二、微软LNK漏洞(CVE-2020-0684)

1、漏洞描述

        如果微软Windows中存在该漏洞,在处理.LNK文件可能会允许远程代码执行,成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。攻击者可以利用该漏洞,通过向用户提供包含恶意.LNK文件和相关恶意二进制文件的可移动驱动器或远程共享,当用户在Windows资源管理器或任何其他解析.LNK文件的应用程序中打开此驱动器或远程共享时,恶意二进制文件将在目标系统上执行攻击者选择的代码。

2、影响范围

       Windows 10 

       Windows 10 Version 1607

       Windows 10 Version 1709

       Windows 10 Version 1803

       Windows 10 Version 1809

       Windows 10 Version 1903

       Windows 10 Version 1909

       Windows 7 Service Pack 1

       Windows 8.1

       Windows RT 8.1

       Windows Server 2008 Service Pack 2

       Windows Server 2008 R2 Service Pack 1

       Windows Server 2012

       Windows Server 2012 R2

       Windows Server 2016

       Windows Server 2019

       Windows Server, version 1803 

       Windows Server, version 1903

       Windows Server, version 1909

3、漏洞类型

        远程代码执行

4、漏洞等级

        高危

5、防护方案

       1)直接运行Windows更新,完成Windows10 2020年3月累积更新补丁的安装。

       操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。

       2)也可以访问微软该漏洞官方页面(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0684),选择相应Windows版本的安全更新,独立安装该漏洞安全补丁。

       3)未下载补丁的用户应尽量避免接收他人发送过来的LNK文件或打开存有LNK文件的存储设备,如打开陌生人提供的U盘。

        请各位师生保持良好的用网习惯,不下载、打开、运行未知软件和Office文档,做好重要数据备份和离线保存,及时更新Windows操作系统补丁,避免被勒索病毒攻击和发生网络安全事件。

Baidu
sogou