CVE-2020-0796 | Windows SMBv3客户端/服务器远程执行代码漏洞（漏洞复现）

漏洞概述：

    微软SMBv3远程代码执行漏洞（SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码）可被攻击者利用，实现无须权限即可执行远程代码，受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列，存在被WannaCry等勒索蠕虫利用的可能，攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击，对存在该漏洞的Windows主机造成严重威胁。

    微软公布了在Server Message Block 3.0（SMBv3）中发现的“蠕虫型”预授权远程代码执行漏洞。

影响版本：

该漏洞不影响Windows7，漏洞影响Windows10 1903之后的32位、64位Windows版本，包括家用版、专业版、企业版、教育版。具体列表如下：

适用于32位系统的Windows 10版本1903

Windows 10 1903版（用于基于x64的系统）

Windows 10 1903版（用于基于ARM64的系统）

Windows Server 1903版（服务器核心安装）

适用于32位系统的Windows 10版本1909

Windows 10版本1909（用于基于x64的系统）

Windows 10 1909版（用于基于ARM64的系统）

Windows Server版本1909（服务器核心安装）

环境搭建 ：

在虚拟机中搭建Windows 10 1909系统来进行复现    下载地址  i tell you

在运行框中输入winver查看版本：

1

win10防火墙需要关闭，成ping状态。

2

漏洞复现：

首先检测下是否存在漏洞：工具poc下载 :https://github.com/ollypwn/SMBGhost

3

蓝屏攻击：蓝屏poc网上已公布。如有需要可私聊。

4

直接蓝屏重启中了。

漏洞修复：

1）直接运行Windows更新，完成Windows10 2020年3月累积更新补丁的安装。

       操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

2）也可以访问微软该漏洞官方页面（https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796），选择相应Windows版本的安全更新，独立安装该漏洞安全补丁。

       3）也可以通过手动修改注册表，防止被黑客远程攻击：

        管理员模式启动PowerShell，将以下命令复制到Powershell命令行，执行即可

        Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

        若无业务必要，在网络安全域边界防火墙封堵文件打印和共享端口（tcp:135/139/ 445）；

       4）也可以通过安全厂商的漏洞检验和修复工具来检查是否存在漏洞和进行漏洞修复。

详细漏洞信息与措施，请参考此处https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

互相学习讨论可加qq:1414868045