SMBv3“蠕虫级”缝隙来袭 GA黄金甲提供解决规划！

颁布功夫 2020-03-12

3月10日，微软颁布安全布告（ADV200005）称在Microsoft Server Message Block 3.1.1 （SMBv3）和谈中存在一个远程代码执行缝隙(CVE-2020-0796，又称“CoronaBlue”或“SMB Ghost”)。该缝隙是由SMBv3和谈处置恶意压缩数据包时进入谬误流程造成的，远程未经身份验证的攻击者能够利用该缝隙造成指标主机系统崩溃、蓝屏甚至执行肆意代码。

GA黄金甲·(中国区)官方网站

由于该缝隙能够直接用于远程攻击，并且能够“蠕虫化”，因而，其风险水平类似于2017年的“永恒之蓝”缝隙。但相较于“永恒之蓝”，该缝隙影响的领域相对较幼，只限于Windows10以及Windows Server 的1903和1909版本，具体影响的版本号如下：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

GA黄金甲解决规划

一、禁用SMBv3压缩

固然本缝隙影响的领域相对较幼，但是由于风险级别较高，并且微软没有给出相应的缝隙补丁，所以建议对受影响的操作系统使用以下缓解措施禁用SMBv3的压缩职能来进行防护。

首先查看自己使用的Windows版本是否为受影响的版本，步骤如下：

GA黄金甲·(中国区)官方网站

使用Win + R后输入“WinVer”查看当前操作系统的版本号。

若是确认系统受影响，则建议使用以下PowerShell号令禁用压缩职能，以阻止未经身份验证的攻击者利用SMBv3服务器的缝隙（无需沉新启动）。

Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

二、产品解决规划

1、已部署GA黄金甲IDS、IPS、WAF、APT产品的客户请确认如下事务规定已经下发并利用，即可有效检测有关攻击： TCP_CVE-2020-0796缝隙利用。

（1）天阗入侵检测与治理系统报警截图：

GA黄金甲·(中国区)官方网站

（2）天清入侵防御系统报警截图：

GA黄金甲·(中国区)官方网站

（3）天清Web利用安全网关报警截图：

GA黄金甲·(中国区)官方网站

（4）天阗高级持续性威胁检测与治理系统报警截图：

GA黄金甲·(中国区)官方网站

2、GA黄金甲天镜脆弱性扫描与治理系统V6.0于2020年3月12日垂危颁布针对该缝隙的升级包，支持对该缝隙进行检测，用户升级天镜漏扫产品缝隙库后即可对该缝隙进行扫描。6070版本升级包为607000278，升级包下载地址：

/article/type/1/146.html

请天镜脆弱性扫描与治理系统V6.0产品的用户尽快升级到最新版本，实时对该缝隙进行检测，以便尽快采取防备措施。

GA黄金甲·(中国区)官方网站

3、已部署泰合TSOC系列产品的企事业单元，建议增长相应的规定持续对该行为进行监控。

关联规定：L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796

注明：

“L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796”关联规定是规定嵌套的规定，用于监测SMBv3缝隙【CVE-2020-0706】利用行为，同时也监测批量445端口接见的行为。

若接入TSOC平台的安全检测设备战术无升级、更新，能够单独使用“L2_ADS_批量445端口接见”规定对445端口接见情况进行监控。

注：“L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796”规定已蕴含“L2_ADS_批量445端口接见”，直接导入“L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796”规定包，无需单独配置“L2_ADS_批量445端口接见”。

“L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796”规定前提：

事务=（日志类型！=“关联事务”）&（（设备类型属于（安全设备/安全防护网关、安全设备/web利用网关、安全设备/入侵检测、安全设备/安全防御、安全设备/防病毒系统、安全设备/恶意代码检测、安全设备/终端安全治理））&（主张端口=“445”）&（引用过滤器=“CVE20200796_安全设备”））|（引用规定=“L2_ADS_批量445端口接见”）

GA黄金甲·(中国区)官方网站

“CVE20200796_安全设备”过滤器前提：

事务=（日志类型！=“关联事务”）&（（事务名称蕴含 “Corona” ）&（事务名称蕴含 “Blue”）&（事务名称蕴含 “缝隙”））|(（事务名称蕴含 “CVE-2020-0796” ）)|(（事务名称蕴含 “SMBv3” ）&（（（事务名称蕴含 “缝隙” ）|（事务名称蕴含 “衔接” ）））)

GA黄金甲·(中国区)官方网站

“L2_ADS_批量445端口接见”规定前提：

事务=（日志类型！=“关联事务”）&（主张端口=“445”）

GA黄金甲·(中国区)官方网站

“L2_ADS_批量445端口接见”次数设置：

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲

SMBv3“蠕虫级”缝隙来袭 GA黄金甲提供解决规划！

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线