SMBv3“蠕虫级”缝隙来袭宝运莱官方网站提供解决规划！

颁布功夫 2020-03-12

3月10日，微软颁布安全布告（ADV200005）称在Microsoft Server Message Block 3.1.1 （SMBv3）和谈中存在一个远程代码执行缝隙(CVE-2020-0796，又称“CoronaBlue”或“SMB Ghost”)。该缝隙是由SMBv3和谈处置恶意压缩数据包时进入谬误流程造成的，远程未经身份验证的攻击者能够利用该缝隙造成指标主机系统崩溃、蓝屏甚至执行肆意代码。

宝运莱·(中国区)最新官方网站

由于该缝隙能够直接用于远程攻击，并且能够“蠕虫化”，因而，其风险水平类似于2017年的“永恒之蓝”缝隙。但相较于“永恒之蓝”，该缝隙影响的领域相对较幼，只限于Windows10以及Windows Server 的1903和1909版本，具体影响的版本号如下：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

宝运莱官方网站解决规划

一、禁用SMBv3压缩

固然本缝隙影响的领域相对较幼，但是由于风险级别较高，并且微软没有给出相应的缝隙补丁，所以建议对受影响的操作系统使用以下缓解措施禁用SMBv3的压缩职能来进行防护。

首先查看自己使用的Windows版本是否为受影响的版本，步骤如下：

宝运莱·(中国区)最新官方网站

使用Win + R后输入“WinVer”查看当前操作系统的版本号。

若是确认系统受影响，则建议使用以下PowerShell号令禁用压缩职能，以阻止未经身份验证的攻击者利用SMBv3服务器的缝隙（无需沉新启动）。

Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

二、产品解决规划

1、已部署宝运莱官方网站IDS、IPS、WAF、APT产品的客户请确认如下事务规定已经下发并利用，即可有效检测有关攻击： TCP_CVE-2020-0796缝隙利用。

（1）天阗入侵检测与治理系统报警截图：

宝运莱·(中国区)最新官方网站

（2）天清入侵防御系统报警截图：

宝运莱·(中国区)最新官方网站

（3）天清Web利用安全网关报警截图：

宝运莱·(中国区)最新官方网站

（4）天阗高级持续性威胁检测与治理系统报警截图：

宝运莱·(中国区)最新官方网站

2、宝运莱官方网站天镜脆弱性扫描与治理系统V6.0于2020年3月12日垂危颁布针对该缝隙的升级包，支持对该缝隙进行检测，用户升级天镜漏扫产品缝隙库后即可对该缝隙进行扫描。6070版本升级包为607000278，升级包下载地址：

/article/type/1/146.html

请天镜脆弱性扫描与治理系统V6.0产品的用户尽快升级到最新版本，实时对该缝隙进行检测，以便尽快采取防备措施。

宝运莱·(中国区)最新官方网站

3、已部署泰合TSOC系列产品的企事业单元，建议增长相应的规定持续对该行为进行监控。

关联规定：L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796

注明：

“L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796”关联规定是规定嵌套的规定，用于监测SMBv3缝隙【CVE-2020-0706】利用行为，同时也监测批量445端口接见的行为。

若接入TSOC平台的安全检测设备战术无升级、更新，能够单独使用“L2_ADS_批量445端口接见”规定对445端口接见情况进行监控。

注：“L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796”规定已蕴含“L2_ADS_批量445端口接见”，直接导入“L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796”规定包，无需单独配置“L2_ADS_批量445端口接见”。

“L3_MC_SMBv3蠕虫远程执行缝隙利用-CVE-2020-0796”规定前提：

事务=（日志类型！=“关联事务”）&（（设备类型属于（安全设备/安全防护网关、安全设备/web利用网关、安全设备/入侵检测、安全设备/安全防御、安全设备/防病毒系统、安全设备/恶意代码检测、安全设备/终端安全治理））&（主张端口=“445”）&（引用过滤器=“CVE20200796_安全设备”））|（引用规定=“L2_ADS_批量445端口接见”）

宝运莱·(中国区)最新官方网站

“CVE20200796_安全设备”过滤器前提：

事务=（日志类型！=“关联事务”）&（（事务名称蕴含 “Corona” ）&（事务名称蕴含 “Blue”）&（事务名称蕴含 “缝隙”））|(（事务名称蕴含 “CVE-2020-0796” ）)|(（事务名称蕴含 “SMBv3” ）&（（（事务名称蕴含 “缝隙” ）|（事务名称蕴含 “衔接” ）））)

宝运莱·(中国区)最新官方网站

“L2_ADS_批量445端口接见”规定前提：

事务=（日志类型！=“关联事务”）&（主张端口=“445”）

宝运莱·(中国区)最新官方网站

“L2_ADS_批量445端口接见”次数设置：

宝运莱·(中国区)最新官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

关于宝运莱官方网站

SMBv3“蠕虫级”缝隙来袭宝运莱官方网站提供解决规划！

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线

软件升级

投资者关系

关于宝运莱官方网站

SMBv3“蠕虫级”缝隙来袭 宝运莱官方网站提供解决规划！

7*24幼时服务热线

SMBv3“蠕虫级”缝隙来袭宝运莱官方网站提供解决规划！