微軟已經(jīng)緊急發(fā)布了一個(gè)補(bǔ)丁程序，以解決 SMBv3 協(xié)議中的漏洞，這個(gè)漏洞的修復(fù)比它最初的計(jì)劃要早，因?yàn)檫@個(gè)漏洞的消息意外泄露到了網(wǎng)上。

該修復(fù)程序現(xiàn)已為 Windows 10（1903和1909版）和 Windows Server 2019（1903和1909版）提供可用更新。

此更新修復(fù)了漏洞，漏洞名為 CVE-2020-0796，該漏洞存在于一個(gè)協(xié)議中，允許計(jì)算機(jī)上的應(yīng)用程序讀取文件，以及向服務(wù)器請(qǐng)求服務(wù)。然而新曝光的嚴(yán)重漏洞或被攻擊者利用，在 SMB 服務(wù)器或客戶機(jī)上執(zhí)行遠(yuǎn)程代碼。

SMB Ghost 缺陷

由于微軟和一些殺毒軟件制造商之間的溝通失誤，有關(guān)該漏洞的細(xì)節(jié)在本應(yīng)發(fā)布之前就泄露到了網(wǎng)上。當(dāng)時(shí)，殺毒軟件公司指出，攻擊者可以利用該漏洞來開發(fā)自蔓延的 SMB 蠕蟲，該蠕蟲具有與 WannaCry 和 NotPetya 勒索軟件類似的功能。

微軟原本計(jì)劃本月不發(fā)布該漏洞的補(bǔ)丁，但這一消息在網(wǎng)上泄露后，這家軟件巨頭被迫發(fā)布了補(bǔ)丁。

微軟推薦用戶盡快安裝該更新，以避免受到該漏洞的影響。用戶可以通過在【更新和安全性】>【W(wǎng)indows Update】中檢查更新來下載并安裝重要的安全更新。與預(yù)覽更新不同，這是一個(gè)強(qiáng)制性修補(bǔ)程序，如果你今天不手動(dòng)安裝，它將在某些時(shí)候自動(dòng)在后臺(tái)安裝。

SMB協(xié)議被用來實(shí)現(xiàn)文件共享傳輸。為了防御臭名昭著的WannaCry勒索病毒，微軟已經(jīng)在Windows 10中默認(rèn)刪除了漏洞多多的SMBv1協(xié)議。本月的補(bǔ)丁星期二，微軟又意外曝光了名為CVE-2020-0796的SMBv3漏洞，但沒有提供修復(fù)補(bǔ)丁。

該漏洞可能會(huì)導(dǎo)致蠕蟲攻擊，微軟已經(jīng)建議在防火墻上禁用TCP 445端口來保護(hù)網(wǎng)絡(luò)免受外部攻擊。實(shí)際上國(guó)內(nèi)運(yùn)營(yíng)商出于各種原因早已禁用家庭寬帶用戶的445端口，所以當(dāng)年的WannaCry的主要受害者是教育網(wǎng)和一些企業(yè)用戶。

從原理上來說，本次發(fā)現(xiàn)的漏洞需要攻擊者向目標(biāo)SMBv3服務(wù)器發(fā)送特制數(shù)據(jù)包，或者誘使SMBv3客戶端主動(dòng)連接到惡意配置的SMBv3服務(wù)器。一旦成功，攻擊者將可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，進(jìn)而做任意他們想做的事。

除了禁用445端口之外，還可以通過修改注冊(cè)表方式進(jìn)行修補(bǔ)。在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建DWORD類型的DisableCompression，并將其數(shù)值設(shè)定為1。這會(huì)禁用SMBv3的壓縮功能，而不影響其他功能使用。以上是臨時(shí)的修補(bǔ)措施，微軟可能原本計(jì)劃在本月補(bǔ)丁中修復(fù)它，然而不知什么原因，補(bǔ)丁最終沒有完成。