CVE-2020-0796

Описание

Существует уязвимость удаленного выполнения кода в том, как протокол Microsoft Server Message Block 3.1.1 (SMBv3) обрабатывает определенные запросы. Злоумышленник, успешно эксплуатировавший уязвимость, способен выполнить код на целевом сервере или клиенте.

Условия эксплуатации

• Для эксплуатации уязвимости против сервера, неаутентифицированный злоумышленник может отправить специально сформированный пакет на целевой сервер SMBv3.
• Для эксплуатации уязвимости против клиента, неаутентифицированный злоумышленник должен настроить вредоносный сервер SMBv3 и убедить пользователя подключиться к нему.

Решение

Обновление безопасности устраняет уязвимость, корректируя обработку специально сформированных запросов протоколом SMBv3.

Способы защиты

Отключение сжатия SMBv3

Вы можете отключить сжатие, чтобы заблокировать попытки неавторизованных злоумышленников эксплуатировать уязвимость по отношению к SMBv3 серверу с помощью команды PowerShell:

Примечания:

1. Не требуется перезагрузка после изменения.
2. Этот способ защиты не предотвращает эксплуатацию клиентов SMB, пожалуйста, смотрите пункт 2 в разделе FAQ для защиты клиентов.
3. Сжатие SMB не используется в Windows или Windows Server, и отключение сжатия SMB не влияет на производительность.

Можно отключить этот способ защиты с помощью команды PowerShell:

Примечание: Не требуется перезагрузка после отключения способа защиты.

Часто задаваемые вопросы (FAQ)

Какие шаги я могу предпринять для защиты своей сети?

1. Заблокируйте TCP-порт 445 на межсетевом экране периметра предприятия

   TCP-порт 445 используется для установления соединения с уязвимым компонентом. Блокировка этого порта на межсетевом экране периметра сети поможет защитить системы, которые находятся за этим экраном, от попыток эксплуатации данной уязвимости. Это поможет защитить сети от атак, исходящих извне периметра предприятия. Однако системы все равно могут быть уязвимы для атак изнутри периметра предприятия.

2. Следуйте рекомендациям Microsoft по предотвращению SMB трафика от боковых соединений и его выхода или входа в сеть

   Предотвращение SMB трафика от боковых соединений и его выхода или входа в сеть

Пострадали ли старые версии Windows (кроме указанных в таблице обновлений безопасности) от этой уязвимости?

Нет, уязвимость существует в новой функции, которая была добавлена в Windows 10 версии 1903. Более старые версии Windows не поддерживают сжатие SMBv3.1.1 и не подвержены этой уязвимости.

Windows Server, версия 1903 (установка Server Core) и Windows Server, версия 1909 (установка Server Core) указаны в таблице обновлений безопасности. Подвержены ли версии Windows Server 1903 и Windows Server 1909, которые не являются установками Server Core, этой уязвимости?

Нет. Версии Windows Server 1903 и 1909 были выпущены в рамках канала Semi-Annual Channel (SAC). Таким образом, доступна только установка Server Core. Для получения более подробной информации о каналах обслуживания Windows, пожалуйста, ознакомьтесь с каналами обслуживания.