SMBv3“蠕虫级”漏洞来袭抖圈为赌而生提供解决方案！

宣布时间 2020-03-12

3月10日，微软宣布宁静通告（ADV200005）称在Microsoft Server Message Block 3.1.1 （SMBv3）协议中存在一个远程代码执行漏洞(CVE-2020-0796，又称“CoronaBlue”或“SMB Ghost”)。该漏洞是由SMBv3协议处置恶意压缩数据包时进入错误流程造成的，远程未经身份验证的攻击者可以利用该漏洞造成目标主机系统瓦解、蓝屏甚至执行任意代码。

尊龙抖圈 - 为du而生

由于该漏洞可以直接用于远程攻击，而且可以“蠕虫化”，因此，其危害水平类似于2017年的“永恒之蓝”漏洞。但相较于“永恒之蓝”，该漏洞影响的范围相对较小，只限于Windows10以及Windows Server 的1903和1909版本，具体影响的版本号如下：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

抖圈为赌而生解决方案

一、禁用SMBv3压缩

虽然本漏洞影响的范围相对较小，但是由于危害级别较高，而且微软没有给出相应的漏洞补丁，所以建议对受影响的操作系统使用以下缓解措施禁用SMBv3的压缩功效来进行防护。

首先检察自己使用的Windows版本是否为受影响的版本，要领如下：

尊龙抖圈 - 为du而生

使用Win + R后输入“WinVer”检察当前操作系统的版本号。

如果确认系统受影响，则建议使用以下PowerShell命令禁用压缩功效，以阻止未经身份验证的攻击者利用SMBv3服务器的漏洞（无需重新启动）。

Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

二、产物解决方案

1、已部署抖圈为赌而生IDS、IPS、WAF、APT产物的客户请确认如下事件规则已经下发并应用，即可有效检测相关攻击： TCP_CVE-2020-0796漏洞利用。

（1）天阗入侵检测与管理系统报警截图：

尊龙抖圈 - 为du而生

（2）天清入侵防御系统报警截图：

尊龙抖圈 - 为du而生

（3）天清Web应用宁静网关报警截图：

尊龙抖圈 - 为du而生

（4）天阗高级连续性威胁检测与管理系统报警截图：

尊龙抖圈 - 为du而生

2、抖圈为赌而生天镜脆弱性扫描与管理系统V6.0于2020年3月12日紧急宣布针对该漏洞的升级包，支持对该漏洞进行检测，用户升级天镜漏扫产物漏洞库后即可对该漏洞进行扫描。6070版本升级包为607000278，升级包下载地址：

/article/type/1/146.html

请天镜脆弱性扫描与管理系统V6.0产物的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快接纳防范措施。

尊龙抖圈 - 为du而生

3、已部署泰合TSOC系列产物的企事业单元，建议添加相应的规则连续对该行为进行监控。

关联规则：L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796

说明：

“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”关联规则是规则嵌套的规则，用于监测SMBv3漏洞【CVE-2020-0706】利用行为，同时也监测批量445端口访问的行为。

若接入TSOC平台的宁静检测设备计谋无升级、更新，可以单独使用“L2_ADS_批量445端口访问”规则对445端口访问情况进行监控。

注：“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则已包罗“L2_ADS_批量445端口访问”，直接导入“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则包，无需单独配置“L2_ADS_批量445端口访问”。

“L3_MC_SMBv3蠕虫远程执行漏洞利用-CVE-2020-0796”规则条件：

事件=（日志类型！=“关联事件”）&（（设备类型属于（宁静设备/宁静防护网关、宁静设备/web应用网关、宁静设备/入侵检测、宁静设备/宁静防御、宁静设备/防病毒系统、宁静设备/恶意代码检测、宁静设备/终端宁静管理））&（目的端口=“445”）&（引用过滤器=“CVE20200796_宁静设备”））|（引用规则=“L2_ADS_批量445端口访问”）

尊龙抖圈 - 为du而生

“CVE20200796_宁静设备”过滤器条件：

事件=（日志类型！=“关联事件”）&（（事件名称包罗 “Corona” ）&（事件名称包罗 “Blue”）&（事件名称包罗 “漏洞”））|(（事件名称包罗 “CVE-2020-0796” ）)|(（事件名称包罗 “SMBv3” ）&（（（事件名称包罗 “漏洞” ）|（事件名称包罗 “连接” ）））)

尊龙抖圈 - 为du而生

“L2_ADS_批量445端口访问”规则条件：

事件=（日志类型！=“关联事件”）&（目的端口=“445”）

尊龙抖圈 - 为du而生

“L2_ADS_批量445端口访问”次数设置：

尊龙抖圈 - 为du而生

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

关于抖圈为赌而生

SMBv3“蠕虫级”漏洞来袭抖圈为赌而生提供解决方案！

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线

软件升级

投资者关系

关于抖圈为赌而生

SMBv3“蠕虫级”漏洞来袭 抖圈为赌而生提供解决方案！

7*24小时服务热线

SMBv3“蠕虫级”漏洞来袭抖圈为赌而生提供解决方案！