2020年3月11日,我们检测到Fortiguard发布的安全规则公告。该通知描述了Microsoft SMBv3协议中编号为CVE-2020-0796的内存损坏漏洞,并指出该漏洞不需要授权验证,可以远程使用,它可能形成蠕虫级别的漏洞。
这表示试图利用Microsoft SMB服务器中的缓冲区溢出漏洞进行攻击。
该漏洞是由于易受攻击的软件处理恶意制作的压缩数据包时发生的错误而引起的。远程未经身份验证的攻击者可以利用此漏洞在应用程序的上下文中执行任意代码。
受影响的版本
- 适用于32位系统的Windows 10版本1903
- Windows 10 1903版(用于基于x64的系统)
- Windows 10 1903版(用于基于ARM64的系统)
- Windows Server 1903版(服务器核心安装)
- 适用于32位系统的Windows 10版本1909
- Windows 10版本1909(用于基于x64的系统)
- Windows 10 1909版(用于基于ARM64的系统)
- Windows Server版本1909(服务器核心安装)
鉴于Microsoft尚未描述编号为CVE-2020-0796的漏洞,因此暂时不确定是否存在此漏洞。我们建议用户密切注意此漏洞事件的发展。
微软发布的公告:
Microsoft通过Microsoft Server Message Block 3.1.1(SMBv3)协议处理某些请求的方式意识到了一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。
为了利用针对SMB服务器的漏洞,未经身份验证的攻击者可以将特制数据包发送到目标SMBv3服务器。若要利用针对SMB客户端的漏洞,未经身份验证的攻击者将需要配置恶意的SMBv3服务器,并诱使用户连接到该服务器。