关于CVE-2020-0796

漏洞介绍:系统用户的SMBv3远程代码执行漏洞,现在已出现本地提权exp

本地提权exp下载地址:https://github.com/danigargu/CVE-2020-0796    exe版

https://github.com/ZecOps/CVE-2020-0796-LPE-POC    py版

根本原因

漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法.最终导致整数溢出。

https://xz.aliyun.com/t/7440

修复方案

1】设置-更新和安全-Windows更新-检查更新
或直接下载对应补丁进行安装(KB4551762)
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
2】regedit HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。
或powershell
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
3】封445端口

posted @ 2020-04-01 11:15  我要变超人  阅读(1018)  评论(0编辑  收藏  举报