一、漏洞分析

       1、SMBv3介绍

服务器消息块（SMB），是一个网络通信协议，用于提供共享访问到文件，打印机和串行端口的节点之间的网络上。它还提供了经过身份验证的进程间通信机制。SMB的大多数用法涉及运行Microsoft Windows的计算机，在引入Active Directory之前被称为“ Microsoft Windows网络” 。相应的Windows服务是用于服务器组件的LAN Manager服务器和用于客户端组件的LAN Manager工作站。

Windows 10和Windows Server 2016引入了SMB 3.1.1 。除了在SMB3中添加的AES-128 CCM加密外，该版本还支持AES-128 GCM加密，并使用SHA-512哈希实现预认证完整性检查。当使用SMB 2.x和更高版本连接到客户端时，SMB 3.1.1还使安全协商成为必需。

2、漏洞描述

CVE-2020-0796，微软SMBv3 Client/Server远程代码执行漏洞。该漏洞存在于srv2.sys文件中，由于SMB没有正确处理压缩的数据包，在解压数据包的时候使用客户端传过来的长度进行解压时，并没有检查长度是否合法，最终导致整数溢出。

3、 事件跟踪

在漏洞公开之初，微软官方便迅速反应，给出了针对此漏洞的缓解措施和修复补丁。该漏洞主要影响的是Windows 10操作系统，在国内仍有很大一部分用户没有使用该系统，因此避免了该漏洞的影响。此外，该漏洞的相关信息公开前后分为了4次，首先是漏洞基本信息公开，没有给出任何PoC；随后，互联网中出现了可以导致受影响主机蓝屏的PoC；然后，出现了可以实现本地提权的EXP；近日，出现了可以导致RCE的EXP。漏洞信息的分阶段公开，给了广大用户充足的时间进行漏洞修复和系统升级。

此次RCE性质EXP的公开，使得攻击者可以根据自己需要进行定制，并应用到实际的攻击活动中，漏洞的现实威胁进一步升级，并且该漏洞无需用户验证的特性，使得该漏洞可以被应用于类似蠕虫传播的恶意用途中。考虑到仍有用户尚未进行针对此漏洞的安全更新，因此该漏洞需要引起高度重视，用户应及时安装微软官方的安全更新补丁。

二、影响范围

目前受影响的Microsoft版本：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

 三、处置建议

1、2020年3月12日微软已正式发布CVE-2020-0796高危漏洞补丁。建议广大用户尽快安装更新：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

 最新更新补丁（KB4556799）：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4556799 

 2、无法安装更新的用户可以选择遵循微软官方指南，停用 SMBv3 中的压缩功能。

powershell 中运行如下命令：

# 停用

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

# 恢复

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

该修复对客户端无效，请勿连接不信任的 SMB 服务器。以免遭受该漏洞影响。

3、建议用户加强日常防范措施：

不要下载和运行来路不明的文件及程序。

对重要文件和数据（数据库等数据）进行定期非本地备份。

 四、参考链接

（1）https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

（2）https://www.mdsec.co.uk/2020/02/cve-2020-0618-rce-in-sql-server-reporting-services-ssrs/