SMB v1远程代码执行漏洞 (CVE-2020-1301)

华盟原创文章投稿奖励计划

漏洞描述  

近日,微软发布补丁修复了一个标注为远程代码执行的SMB v1漏洞:CVE-2020-1301,漏洞影响Win7-Win10的所有版本。经分析,该漏洞发生在srv驱动模块解析SMB相关协议MS-FSCC中的FSCTL_SIS_COPYFILE请求时,没有完全验证请求中的SI_COPYFILE结构,后续引用造成了整形溢出。与之前的SMBGhost(SMBv3漏洞)相比,该漏洞出现在老版本的SMB v1中,触发需要先通过身份认证,危害等级低于CVE-2020-0796。

同时建议关闭SMB v1,由于SMB v1存在很多安全问题,如之前的永恒之蓝就是利用SMB v1漏洞。从2007年开始,SMB v2 和更高版本的协议取代了SMB v1。Microsoft 在2014年公开弃用了 SMB v1 协议。Windows 10已默认关闭SMB v1,禁用SMB v1不会对系统造成影响。

建议受影响的系统关闭SMB v1,由于SMB v1存在很多安全问题,如之前的永恒之蓝就是利用SMB v1漏洞。从2007年开始,SMB v2 和更高版本的协议取代了SMB v1。Microsoft 在2014年公开弃用了 SMB v1 协议。Windows 10已默认关闭SMB v1,禁用SMB v1不会对系统造成影响。

影响版本

Win7 -- Win10

修复建议

强烈建议进行补丁安装安全升级。受影响用户可到官网下载补丁:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1301

可参照对应补丁列表进行下载安装。

临时修复建议

该漏洞触发需要先建立SMB会话,即通过身份验证,为避免受到漏洞影响,设置密码时使用强密码。目前官方已发布补丁修复了该漏洞,对于暂时无法安装补丁的用户,可采取禁用 SMBv1的措施减小风险

对于运行 Windows Vista 及更高版本的客户,可参照官方指导进行禁用smb:

https://docs.microsoft.com/zh-cn/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3

对于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法对于客户端操作系统:

打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

www.idc126.com

重启系统。

对于服务器操作系统:

打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。

在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

重启系统。

本文原创,作者:congtou,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/260003.html

发表评论