微软意外泄露未修复的CVE-2020-0796蠕虫漏洞

近日，微软在安全更新中意外泄露了一个新的蠕虫漏洞，漏洞CVE编号为CVE-2020-0796。该漏洞是位于Server Message Block 3.0 (SMBv3)网络通信协议的一个远程代码执行漏洞。微软并未在2020年3月的补丁日中修复该漏洞。

微软称意识到微软SMB v3协议在处理特定请求时的方式中存在远程代码执行漏洞。成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。

要在SMB服务器上利用该漏洞，未认证的攻击者需要发送一个特定的伪造的包给目标SMBv3服务器。要在SMB客户端上利用该漏洞，未认证的攻击者需要配置一个恶意SMBv3服务器，并让要被攻击的用户连接到该服务器。

Cisco Talos和Fortinet都对该漏洞的技术细节进行了描述。Fortinet称，该漏洞是由于SMBv3处理恶意伪造的压缩数据包时出现的错误引发的，攻击者利用的是SMB服务器中的一个缓冲区溢出漏洞，非认证的攻击者可以利用该漏洞来在应用环境中执行任意代码。

漏洞影响的产品包括：

· Windows 10 Version 1903

· Windows Server Version 1903 (Server Core installation)

· Windows 10 Version 1909

· Windows Server Version 1909 (Server Core installation)

考虑到这是一个影响SMB协议的蠕虫漏洞，因此研究人员认为广大用户应该注意WannaCry 、NotPetya类的攻击。

由于微软还没有发布补丁，因此研究人员建议用户先禁用SMBv3压缩，在客户端计算机和防火墙上拦截445 TCP端口来解决这一问题。禁用的方法为：

1. 找到注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
2. 创建一个名为DWORD的值

3. 将该值设为0