CVE-2020-0796蓝屏POC 漏洞复现

微软SMBv3远程代码执行漏洞（CVE-2020-0796）shell

一、漏洞描述安全

          微软SMBv3远程代码执行漏洞（SMB 3.1.1协议中处理压缩消息时，对其中数据没有通过安全检查，直接使用会引起内存破坏漏洞，可能被攻击者利用远程执行任意代码）可被攻击者利用，实现无须权限便可执行远程代码，受攻击的目标系统只需开机在线便可能被入侵。该漏洞后果十分接近永恒之蓝系列，存在被WannaCry等勒索蠕虫利用的可能，攻击者能够构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击，对存在该漏洞的Windows主机形成严重威胁。网络

二、影响范围tcp

         该漏洞不影响Windows7，漏洞影响Windows10 1903以后的32位、64位Windows版本，包括家用版、专业版、企业版、教育版。具体列表以下：ide

        Windows 10 Version 1903 for 32-bit Systems工具

        Windows 10 Version 1903 for x64-based Systemsui

        Windows 10 Version 1903 for ARM64-based Systems.net

        Windows Server, Version 1903 (Server Core installation)命令行

        Windows 10 Version 1909 for 32-bit Systems视频

        Windows 10 Version 1909 for x64-based Systems

        Windows 10 Version 1909 for ARM64-based Systems

        Windows Server, Version 1909 (Server Core installation)

三、漏洞类型

        远程代码执行

四、漏洞等级

        高危

五、环境搭建

      在虚拟机中搭建Windows 10 1909系统来进行复现。

六、蓝屏复现

      经过Python执行POC脚本进行攻击Windows 10。

      视频演示：https://www.bilibili.com/video/av97457537/

      POC下载连接：https://download.csdn.net/download/ltt440888/12255558

七、防御方案

       1）直接运行Windows更新，完成Windows10 2020年3月累积更新补丁的安装。

       操做步骤：设置->更新和安全->Windows更新，点击“检查更新”。

       2）也能够访问微软该漏洞官方页面（https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796），选择相应Windows版本的安全更新，独立安装该漏洞安全补丁。

       3）也能够经过手动修改注册表，防止被黑客远程攻击：

        管理员模式启动PowerShell，将如下命令复制到Powershell命令行，执行便可

        Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

        若无业务必要，在网络安全域边界防火墙封堵文件打印和共享端口（tcp:135/139/ 445）；

       4）也能够经过安全厂商的漏洞检验和修复工具来检查是否存在漏洞和进行漏洞修复。

        详细漏洞信息与措施，请参考此处https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005