概况

近日，微软发布补丁修复了一个标注为远程代码执行的SMB v1漏洞：CVE-2020-1301，漏洞影响Win7-Win10的所有版本。经分析，该漏洞发生在srv驱动模块解析SMB相关协议MS-FSCC中的FSCTL_SIS_COPYFILE请求时，没有完全验证请求中的SI_COPYFILE结构，后续引用造成了整形溢出。与之前的SMBGhost（SMBv3漏洞）相比，该漏洞出现在老版本的SMB v1中，触发需要先通过身份认证，危害等级低于CVE-2020-0796。同时建议关闭SMB v1，由于SMB v1存在很多安全问题，如之前的永恒之蓝就是利用SMB v1漏洞。从2007年开始，SMB v2 和更高版本的协议取代了SMB v1。Microsoft 在2014年公开弃用了 SMB v1 协议。Windows 10已默认关闭SMB v1，禁用SMB v1不会对系统造成影响。

建议受影响的系统关闭SMB v1，由于SMB v1存在很多安全问题，如之前的永恒之蓝就是利用SMB v1漏洞。从2007年开始，SMB v2 和更高版本的协议取代了SMB v1。Microsoft 在2014年公开弃用了 SMB v1 协议。Windows 10已默认关闭SMB v1，禁用SMB v1不会对系统造成影响。

CVE编号

CVE-2020-1301

危害等级

高危

FOFA指纹

protocol=="smb"

漏洞影响范围

根据目前FOFA系统最新数据（一年内数据），显示全球范围内共有 294494 个SMB服务对外开放。中国大陆使用数量最多，共有 252729 个，日本第二，共有 11280 个，中国台湾第三，共有 8116 个，印度第四，共有 4487 个，中国香港第五，共有 3003 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京市使用数量最多，共有 171347 个，浙江省第二，共有 37448 个，广东省第三，共有 8225 个，江苏省第四，共有 6908 个，上海市第五，共有 3097 个。

影响版本

Win7 -- Win10

修复建议

强烈建议进行补丁安装安全升级。受影响用户可到官网下载补丁：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1301
可参照对应补丁列表进行下载安装。

临时修复建议

该漏洞触发需要先建立SMB会话，即通过身份验证，为避免受到漏洞影响，设置密码时使用强密码。目前官方已发布补丁修复了该漏洞，对于暂时无法安装补丁的用户，可采取禁用 SMBv1的措施减小风险。

对于运行 Windows Vista 及更高版本的客户，可参照官方指导进行禁用smb：https://docs.microsoft.com/zh-cn/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3

对于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法对于客户端操作系统：

1. 打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。
2. 在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。
3. 重启系统。

对于服务器操作系统：

1. 打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。
2. 在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。
3. 重启系统。

参考

[1] https://weixin.shuziguanxing.com/selectDetailsTempateId/475

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。