微软发布CVE-2020-0796补丁

在可能造成巨大威胁的SMB漏洞公布几天后，微软终于发布了一个紧急软件更新来修补最近SMBv3协议中的缺陷。该漏洞可以让攻击者传播蠕虫型的恶意软件，自动在内网内大规模感染存在漏洞的机器。

该漏洞被标记为CVE-2020-0796，是一个远程代码执行漏洞，影响到Windows 10的1903和1909版本，以及Windows Server的1903和1909版本。

SMB运行在TCP端口445上，它是一种被广泛利用的网络协议，支持文件共享、网络浏览、打印服务和网络进程间的通信。

这个漏洞对应的补丁为KB4551762，可以在微软官网网站上找到。它和SMBv3协议处理带有压缩头的请求的方式有关，可导致未经身份验证的远程攻击者以SYSTEM权限在目标服务器上执行恶意代码。

压缩头（Compression headers）是在2019年5月添加到Windows 10和Windows Server操作系统中协议的一项功能，旨在压缩服务器和连接到服务器的客户端之间交换消息的大小。

蓝屏演示：https://vimeo.com/397149983

微软在通告中表示：“为了利用该漏洞，未经身份验证的攻击者需向目标服务器中的SMBv3协议发送一个经过特殊处理的数据包。而为了利用针对客户端的漏洞，攻击者需要配置一个恶意的SMBv3服务器，并诱骗受害者连接到它。”

在撰写本文时，已出现一个相关PoC演示，可导致目标机器蓝屏。不过微软既然已经放出了补丁，黑客也可通过逆向掌握漏洞细节，开发出会自动传播的恶意软件。

另一组研究人员也发表了一份详细的漏洞分析报告，结论是内核池溢出是漏洞的根本原因所在。

研究人员还表示，经过测试目前公网有近48000个Windows系统易受到最新的SMB漏洞的攻击。

由于该漏洞强大的危害性，强烈建议家庭和企业用户尽快安装更新，而不仅仅只是设置一些防御手段。

如果不能立即更新补丁，建议至少阻止外界对SMB端口的访问，以防止被远程利用。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://thehackernews.com/2020/03/patch-wormable-smb-vulnerability.html