CVE-2020-0796漏洞简介
【漏洞名称及类型】
SMB远程代码执行漏洞(编号:CVE-2020-0796、类型:远程代码执行)
【漏洞描述】
SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。
攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。
该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。
【漏洞版本】
漏洞不影响win7,漏洞影响Windows 10 1903之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)
正是目前主流操作系统版本,在个人、企业环境应用广泛。
【漏洞等级】高危 查看漏洞演示视频>>
敲诈者病毒文件恢复教程
-
Tip:对于被病毒加密的文件,电脑管家的工程师竭尽全力破解并发现了恢复部分文件的方法,但恢复成功率受到文件数量、大小、及恢复时间等多个因素影响,越早恢复成功率越高。
-
1、下载小工具
-
2、安装工具
-
3、点击【恢复被删除的文件】并开始恢复
-
4、选择要恢复的文件和目录所在的位置
-
5、耐心等待扫描结果,整个过程受磁盘大小影响
-
6、选择想要恢复的文件
小技巧:
●系统默认桌面文件夹的位置:C:\Users\Administrator(你电脑用户名)\Desktop
●恢复的文件,文件名可能会发生改变,没有找到想要的文件不一定是没有恢复哦
●请尽量将恢复的文件放到新的磁盘中以提高成功率,例:被删除的文件在C盘,
请将恢复的文件恢复到D盘,防止文件覆盖。 -
7、恢复完成
CVE-2020-0796漏洞影响
【漏洞影响】
根据腾讯T-Sec网络资产风险监测系统(腾讯御知)提供的数据,目前全球范围可能存在漏洞的SMB服务总量约10万台,直接暴露在公网,可能成为漏洞攻击的首轮目标。
对于政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点,均为潜在攻击目标,黑客一旦潜入,可利用针对性的漏洞攻击工具在内网扩散,综合风险不亚于永恒之蓝,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。
CVE-2020-0796漏洞解决方案
企业用户
一、推荐企业采用腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受安全漏洞影响。
腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。
企业用户可点击下方按钮,0元7天免费使用「腾讯T-Sec 网络资产风险检测系统」(腾讯御知)
免费试用御知二、腾讯T-Sec终端安全管理系统(御点)已率先升级,可拦截利用该漏洞的攻击
企业网管还可采用腾讯T-Sec终端安全管理系统(御点)的全网漏洞扫描修复功能,全网统一扫描、安装KB4551762补丁。
部署腾讯T-Sec终端安全管理系统(御点)拦截病毒木马入侵,更多信息可参考链接:
https://s.tencent.com/product/yd/index.html三、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测
腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:
https://cloud.tencent.com/product/nta
四、腾讯安全率先推出SMB远程代码执行漏洞扫描工具,管理员使用该工具可远程检测全网终端是否存在安全漏洞
为避免被攻击者滥用,获取SMB远程代码漏洞扫描工具须申请,申请流程详见申请书下载地址
五、企业用户也可使用Windows 更新安装补丁,在Windows设置中,点击“更新和安全”
个人用户
一、推荐个人用户采用腾讯电脑管家的漏洞扫描修复功能安装补丁,腾讯电脑管家同时为未安装管家的用户单独提供了SMB远程代码漏洞修复工具
SMB远程远程代码执行漏洞修复工具下载地址:工具下载地址
二、个人用户也可直接运行Windows 更新,完成补丁的安装
三、个人用户也可通过手动修改注册表,防止被黑客远程攻击:
运行regedit.exe,打开注册表编辑器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。
时间线
1. 2020年3月11日,国外某厂家发布规则更新,披露疑似SMB严重漏洞;
2. 微软发布临时缓解方案:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
3. 2020年3月11日,腾讯电脑管家官微发布“CVE-2020-0796:疑似微软SMB协议‘蠕虫级’漏洞初步通告”;
4. 2020年3月12日23点,微软官方发布CVE-2020-0796安全公告;
5. 2020年3月12日,腾讯安全发布远程无损检测工具。
参考链接
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
敲诈者病毒文件恢复教程
-
Tip:对于被病毒加密的文件,电脑管家的工程师竭尽全力破解并发现了恢复部分文件的方法,但恢复成功率受到文件数量、大小、及恢复时间等多个因素影响,越早恢复成功率越高。
-
1、下载小工具
-
2、安装工具
-
3、点击【恢复被删除的文件】并开始恢复
-
4、选择要恢复的文件和目录所在的位置
-
5、耐心等待扫描结果,整个过程受磁盘大小影响
-
6、选择想要恢复的文件
小技巧:
●系统默认桌面文件夹的位置:C:\Users\Administrator(你电脑用户名)\Desktop
●恢复的文件,文件名可能会发生改变,没有找到想要的文件不一定是没有恢复哦
●请尽量将恢复的文件放到新的磁盘中以提高成功率,例:被删除的文件在C盘,
请将恢复的文件恢复到D盘,防止文件覆盖。 -
7、恢复完成