如何分析疑似微软SMB3协议远程利用漏洞事件

这期内容当中小编将会给大家带来有关如何分析疑似微软SMB3协议远程利用漏洞事件，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。

0x01 0x00 事件描述

2020年3月11日，360-CERT监测到有海外厂家发布安全规则通告，通告中描述了一处微软SMBv3协议的内存破坏漏洞，编号CVE-2020-0796，并表示该漏洞无需授权验证即可被远程利用，可能形成蠕虫级漏洞。

鉴于微软官方并没有对编号 CVE-2020-0796 的漏洞进行描述，暂时不能确定该漏洞是否存在，360-CERT建议用户保持关注该漏洞的发展。

公告中描述如下[见参考链接1]：

 漏洞原因是因为操作系统在处理SMB3中的压缩数据包时存在错误处理。成功构造数据包的攻击者可在远程无验证的条件下利用该漏洞执行任意代码。

影响版本

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)

0x02 时间线

2020-03-11 某厂家发布规则更新，疑似SMBv3严重漏洞

2020-03-11 360-CERT 跟进并发布改漏洞初步跟进说明

上述就是小编为大家分享的如何分析疑似微软SMB3协议远程利用漏洞事件了，如果刚好有类似的疑惑，不妨参照上述分析进行理解。如果想知道更多相关知识，欢迎关注行业资讯频道。