SMBv3“蠕虫级”误差来袭尊龙凯时提供解决计划！

宣布时间 2020-03-12

3月10日，微软宣布清静通告（ADV200005）称在Microsoft Server Message Block 3.1.1 （SMBv3）协议中保存一个远程代码执行误差(CVE-2020-0796，又称“CoronaBlue”或“SMB Ghost”)。该误差是由SMBv3协议处置惩罚恶意压缩数据包时进入过失流程造成的，远程未经身份验证的攻击者可以使用该误差造成目的主机系统瓦解、蓝屏甚至执行恣意代码。

尊龙凯时·(中国区)人生就是搏!

由于该误差可以直接用于远程攻击，并且可以“蠕虫化”，因此，其危害水平类似于2017年的“永恒之蓝”误差。但相较于“永恒之蓝”，该误差影响的规模相对较小，只限于Windows10以及Windows Server 的1903和1909版本，详细影响的版本号如下：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

尊龙凯时解决计划

一、禁用SMBv3压缩

虽然本误差影响的规模相对较小，可是由于危害级别较高，并且微软没有给出响应的误差补丁，以是建议对受影响的操作系统使用以下缓解步伐禁用SMBv3的压缩功效来举行防护。

首先审查自己使用的Windows版本是否为受影响的版本，要领如下：

尊龙凯时·(中国区)人生就是搏!

使用Win + R后输入“WinVer”审查目今操作系统的版本号。

若是确认系统受影响，则建议使用以下PowerShell下令禁用压缩功效，以阻止未经身份验证的攻击者使用SMBv3服务器的误差（无需重新启动）。

Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

二、产品解决计划

1、已安排尊龙凯时IDS、IPS、WAF、APT产品的客户请确认如下事务规则已经下发并应用，即可有用检测相关攻击： TCP_CVE-2020-0796误差使用。

（1）天阗入侵检测与治理系统报警截图：

尊龙凯时·(中国区)人生就是搏!

（2）天清入侵防御系统报警截图：

尊龙凯时·(中国区)人生就是搏!

（3）天清Web应用清静网关报警截图：

尊龙凯时·(中国区)人生就是搏!

（4）天阗高级一连性威胁检测与治理系统报警截图：

尊龙凯时·(中国区)人生就是搏!

2、尊龙凯时天镜懦弱性扫描与治理系统V6.0于2020年3月12日紧迫宣布针对该误差的升级包，支持对该误差举行检测，用户升级天镜漏扫产品误差库后即可对该误差举行扫描。6070版本升级包为607000278，升级包下载地点：

/article/type/1/146.html

请天镜懦弱性扫描与治理系统V6.0产品的用户尽快升级到最新版本，实时对该误差举行检测，以便尽快接纳提防步伐。

尊龙凯时·(中国区)人生就是搏!

3、已安排泰合TSOC系列产品的企事业单位，建议添加响应的规则一连对该行为举行监控。

关联规则：L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796

说明：

“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”关联规则是规则嵌套的规则，用于监测SMBv3误差【CVE-2020-0706】使用行为，同时也监测批量445端口会见的行为。

若接入TSOC平台的清静检测装备战略无升级、更新，可以单独使用“L2_ADS_批量445端口会见”规则对445端口会见情形举行监控。

注：“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则已包括“L2_ADS_批量445端口会见”，直接导入“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则包，无需单独设置“L2_ADS_批量445端口会见”。

“L3_MC_SMBv3蠕虫远程执行误差使用-CVE-2020-0796”规则条件：

事务=（日志类型！=“关联事务”）&（（装备类型属于（清静装备/清静防护网关、清静装备/web应用网关、清静装备/入侵检测、清静装备/清静防御、清静装备/防病毒系统、清静装备/恶意代码检测、清静装备/终端清静治理））&（目的端口=“445”）&（引用过滤器=“CVE20200796_清静装备”））|（引用规则=“L2_ADS_批量445端口会见”）

尊龙凯时·(中国区)人生就是搏!

“CVE20200796_清静装备”过滤器条件：

事务=（日志类型！=“关联事务”）&（（事务名称包括 “Corona” ）&（事务名称包括 “Blue”）&（事务名称包括 “误差”））|(（事务名称包括 “CVE-2020-0796” ）)|(（事务名称包括 “SMBv3” ）&（（（事务名称包括 “误差” ）|（事务名称包括 “毗连” ）））)

尊龙凯时·(中国区)人生就是搏!

“L2_ADS_批量445端口会见”规则条件：

事务=（日志类型！=“关联事务”）&（目的端口=“445”）

尊龙凯时·(中国区)人生就是搏!

“L2_ADS_批量445端口会见”次数设置：

尊龙凯时·(中国区)人生就是搏!

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

关于尊龙凯时

SMBv3“蠕虫级”误差来袭尊龙凯时提供解决计划！

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线

软件升级

投资者关系

关于尊龙凯时

SMBv3“蠕虫级”误差来袭 尊龙凯时提供解决计划！

7*24小时服务热线

SMBv3“蠕虫级”误差来袭尊龙凯时提供解决计划！