2020年6月2日，有国外安全研究员公开了一份CVE-2020-0796 （别名：SMBGhost）漏洞的RCE代码。经腾讯安全团队分析，漏洞利用思路与先前国外安全团队披露的利用方式类似。由于本次公布的是漏洞利用源代码，使得漏洞利用风险骤然升级，被黑灰产修改即可用于网络攻击。

腾讯安全全系列安全产品已在今年3月份，微软补丁发布后的第二天全面支持对SMBGhost漏洞的检测、拦截。根据我们的研究，漏洞信息披露至今已近3个月，仍有近三分之一的系统未对漏洞做修复，存在严重安全隐患，漏洞可能影响政府机关、企事业单位及个人电脑用户，攻击者利用该漏洞可以制造与WannaCry勒索病毒类似的安全危机。

鉴于漏洞利用的源代码已经公开，腾讯安全团队第三次发布CVE-2020-0796安全通告，强烈建议用户尽快修复漏洞。

腾讯安全全系列产品应对SMB V3远程代码执行漏洞（CVE-2020-0796）的响应清单如下：

【漏洞名称】

SMB远程代码执行漏洞（漏洞编号：CVE-2020-0796），别名“SMBGhost”。

【漏洞描述】

2020年3月12日微软正式发布CVE-2020-0796高危漏洞补丁。

SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码。

攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。

该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。

除了直接攻击SMB服务端造成RCE外，该漏洞得亮点在于对SMB客户端的攻击，攻击者可以构造特定的网页，压缩包，共享目录，OFFICE文档等多种方式触发漏洞进行攻击。

【漏洞版本】

漏洞影响Windows 10 1903之后的各个32位、64位版Windows，包括家用版、专业版、企业版、教育版。Windows 7不受影响。

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

【漏洞等级】高危

【漏洞影响】

对于政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点，均为潜在攻击目标。黑客一旦潜入，可利用针对性的漏洞攻击工具在内网扩散，综合风险不亚于永恒之蓝，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的网络灾难。

从漏洞公开至今近3个月，仍有近三分之一存在漏洞的系统未对该高危漏洞进行修补。

【解决方案】

企业用户：

1. 腾讯T-Sec云防火墙拦截黑客利用CVE-2020-0796漏洞对云主机的网络攻击。

2. 腾讯T-Sec主机安全系统（云镜）支持检测云主机是否受SMBGhost漏洞的影响。

3. 腾讯T-Sec 网络资产风险检测系统（腾讯御知）全面检测企业网络资产是否受该漏洞影响。 

腾讯T-Sec 网络资产风险检测系统（腾讯御知）是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险，包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

企业用户可扫描以下二维码，免费使用腾讯T-Sec 网络资产风险检测系统（yuzhi.qq.com）。

4. 企业用户可使用腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta

5. 企业终端可采用腾讯T-Sec终端安全管理系统（御点）拦截利用该漏洞的攻击：

企业网管还可采用腾讯T-Sec终端安全管理系统（御点）的全网漏洞扫描修复功能，全网统一扫描、安装KB4551762补丁。

部署腾讯T-Sec终端安全管理系统（御点）拦截病毒木马入侵，更多信息可参考链接：https://s.tencent.com/product/yd/index.html。

6. 也可使用Windows 更新安装补丁，操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

个人用户

1. 推荐个人用户采用腾讯电脑管家的漏洞扫描修复功能安装补丁，腾讯电脑管家同时为未安装管家的用户单独提供了SMB远程代码漏洞修复工具

2. 个人用户也可直接运行Windows 更新，完成补丁的安装。操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

【时间线】

1. 2020年3月11日，国外某厂家发布规则更新，披露疑似SMB严重漏洞；

2. 2020年3月11日，微软发布临时缓解方案：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

3. 2020年3月11日，腾讯电脑管家官微发布“CVE-2020-0796：疑似微软SMB协议‘蠕虫级’漏洞初步通告”；

4. 2020年3月12日晚，微软官方发布CVE-2020-0796安全公告；

5. 2020年3月12日晚，腾讯安全发布远程无损检测工具；

6. 2020年4月14日，国外研究者发布疑似漏洞利用EXP演示视频，并声称继续公布细节，腾讯安全团队随后发布SMB v3远程代码执行漏洞CVE-2020-0796安全通告更新；

7. 2020年6月2日，国外安全研究人员发布SMBGhost漏洞利用源代码，使漏洞利用风险骤然升级。

【参考链接】

CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

史诗级漏洞！SMBv3远程代码执行漏洞CVE-2020-0796安全通告

https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q

CVE-2020-0796漏洞技术分析

https://mp.weixin.qq.com/s/HZFS7AaDvSyDbjCfr7kwyg

SMBv3远程代码执行漏洞CVE-2020-0796安全通告更新

https://mp.weixin.qq.com/s/CB5YPmstiR-y2wxiO_VRvg

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！