校内各单位、各校园网用户:
2020年3月11日,微软发布2020年3月安全公告,其中包括SMBv3远程代码执行漏洞(CVE-2020-0796)。综合各方消息,该漏洞原理与“永恒之蓝”类似,存在被蠕虫化利用的可能,请各单位高度重视,认真开展排查,查找问题隐患,迅速整改到位。目前微软已经提供系统更新补丁,请广大师生尽快升级系统补丁或采用相应的防护措施,避免被勒索病毒攻击和发生网络安全事件。
一、漏洞概述:
根据微软漏洞公告和有关安全厂商通报,存在漏洞的主机可被攻击者利用,实现无须权限即可执行远程代码而被入侵,并存在被勒索病毒利用造成更大损失的可能。漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。
二、影响范围
该漏洞不影响Windows7,漏洞影响Windows 10 1903之后的32位、64位Windows,包括家用版、专业版、企业版、教育版。具体列表如下:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)
三、处置建议
目前微软已经提供系统更新补丁,请广大师生尽快升级系统补丁。
方法一:直接运行Windows更新,完成Windows10 2020年3月累积更新补丁的安装。
操作步骤:设置->更新和安全->Windows更新,点击“检查更新”,安装更新。
方法二:也可以访问微软该漏洞官方页面(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796),选择相应Windows版本的安全更新,独立安装该漏洞安全补丁。
方法三:也可以通过安全厂商的漏洞检验和修复工具来检查是否存在漏洞和进行漏洞修复。
如:各类安全卫士或电脑管家的漏洞扫描修复功能安装补丁,或单独下载腾讯SMB远程代码漏洞修复工具(http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe)。
临时缓解措施:通过PowerShell执行以下命令禁用SMBv3压缩功能(是否使用需要结合业务进行判断),以阻止未经身份验证的恶意攻击者对SMBv3服务端的漏洞利用,执行此操作无需重启系统,但对SMBv3客户端无效:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
请各位师生保持良好的用网习惯,不下载、打开、运行未知软件和Office文档,做好重要数据备份和离线保存,及时更新Windows操作系统补丁,避免被勒索病毒攻击和发生网络安全事件。如有情况请及时联系网络中心,用户服务电话 83969312。
南昌大学网络安全和信息化领导小组办公室
2020年3月13日