2020年6月2日，有国外安全研究员公开了一份CVE-2020-0796 （别名：SMBGhost）漏洞的RCE代码。经腾讯安全团队分析，漏洞利用思路与先前国外安全团队披露的利用方式类似。由于本次公布的是漏洞利用源代码，使得漏洞利用风险骤然升级，被黑灰产修改即可用于网络攻击。

腾讯安全全系列安全产品已在今年3月份，微软补丁发布后的第二天全面支持对SMBGhost漏洞的检测、拦截。根据我们的研究，漏洞信息披露至今已近3个月，仍有近三分之一的系统未对漏洞做修复，存在严重安全隐患，漏洞可能影响政府机关、企事业单位及个人电脑用户，攻击者利用该漏洞可以制造与WannaCry勒索病毒类似的安全危机。

鉴于漏洞利用的源代码已经公开，腾讯安全团队第三次发布CVE-2020-0796安全通告，强烈建议用户尽快修复漏洞。

腾讯安全全系列产品应对SMB V3远程代码执行漏洞（CVE-2020-0796）的响应清单如下：

【漏洞名称】

SMB远程代码执行漏洞（漏洞编号：CVE-2020-0796），别名“SMBGhost”。

【漏洞描述】

2020年3月12日微软正式发布CVE-2020-0796高危漏洞补丁。

SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码。

攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。

该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。

除了直接攻击SMB服务端造成RCE外，该漏洞得亮点在于对SMB客户端的攻击，攻击者可以构造特定的网页，压缩包，共享目录，OFFICE文档等多种方式触发漏洞进行攻击。

【漏洞版本】

漏洞影响Windows 10 1903之后的各个32位、64位版Windows，包括家用版、专业版、企业版、教育版。Windows 7不受影响。

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

【漏洞等级】高危

【漏洞影响】

对于政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点，均为潜在攻击目标。黑客一旦潜入，可利用针对性的漏洞攻击工具在内网扩散，综合风险不亚于永恒之蓝，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。

从漏洞公开至今近3个月，仍有近三分之一存在漏洞的系统未对该高危漏洞进行修补。

【解决方案】

企业用户：

1. 腾讯T-Sec云防火墙拦截黑客利用CVE-2020-0796漏洞对云主机的网络攻击。

2. 腾讯T-Sec主机安全系统（云镜）支持检测云主机是否受SMBGhost漏洞的影响。

3. 腾讯T-Sec 网络资产风险检测系统（腾讯御知）全面检测企业网络资产是否受该漏洞影响。 

腾讯T-Sec 网络资产风险检测系统（腾讯御知）是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险，包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

企业用户可扫描以下二维码，免费使用腾讯T-Sec 网络资产风险检测系统（yuzhi.qq.com）。

4. 企业用户可使用腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta

5. 企业终端可采用腾讯T-Sec终端安全管理系统（御点）拦截利用该漏洞的攻击：

企业网管还可采用腾讯T-Sec终端安全管理系统（御点）的全网漏洞扫描修复功能，全网统一扫描、安装KB4551762补丁。

部署腾讯T-Sec终端安全管理系统（御点）拦截病毒木马入侵，更多信息可参考链接：914K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8Y4m8J5L8$3c8#2j5%4c8Q4x3V1k6&6k6q4)9J5c8X3W2F1k6r3g2^5i4K6u0W2K9s2c8E0L8q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.

6. 也可使用Windows 更新安装补丁，操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

个人用户

1. 推荐个人用户采用腾讯电脑管家的漏洞扫描修复功能安装补丁，腾讯电脑管家同时为未安装管家的用户单独提供了SMB远程代码漏洞修复工具

2. 个人用户也可直接运行Windows 更新，完成补丁的安装。操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

【时间线】

1. 2020年3月11日，国外某厂家发布规则更新，披露疑似SMB严重漏洞；

2. 2020年3月11日，微软发布临时缓解方案：c71K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8%4u0@1j5h3I4Q4x3X3g2E0M7%4u0U0i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8g2f1#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0V1k6%4g2A6k6r3q4F1j5$3g2Q4x3V1k6S2k6s2k6A6M7$3!0J5P5g2)9J5c8V1q4p5g2U0t1H3x3o6l9H3y4b7`.`.

3. 2020年3月11日，腾讯电脑管家官微发布“CVE-2020-0796：疑似微软SMB协议‘蠕虫级’漏洞初步通告”；

4. 2020年3月12日晚，微软官方发布CVE-2020-0796安全公告；

5. 2020年3月12日晚，腾讯安全发布远程无损检测工具；

6. 2020年4月14日，国外研究者发布疑似漏洞利用EXP演示视频，并声称继续公布细节，腾讯安全团队随后发布SMB v3远程代码执行漏洞CVE-2020-0796安全通告更新；

7. 2020年6月2日，国外安全研究人员发布SMBGhost漏洞利用源代码，使漏洞利用风险骤然升级。

【参考链接】

CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

史诗级漏洞！SMBv3远程代码执行漏洞CVE-2020-0796安全通告

https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q

CVE-2020-0796漏洞技术分析

https://mp.weixin.qq.com/s/HZFS7AaDvSyDbjCfr7kwyg

SMBv3远程代码执行漏洞CVE-2020-0796安全通告更新

231K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8V1y4n7y4g2W2b7L8i4y4@1K9g2u0Q4x3X3c8&6x3Y4N6^5K9f1!0Q4y4h3k6h3f1Y4k6Y4

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课