院屬各單位、機關各處室:
近期,中共湖南省委網絡安全和信息化委員會辦公室接到中央網信辦網絡安全應急協調聯動平臺的預警通報稱:3月10日,微軟官方發布了針對Windows 10/Server禁用SMBv3(SMB 3.1.1版本)協議壓縮的指南公告,以此緩解SMBv3協議(用于文件共享與打印服務)在處理調用請求時的一個遠程代碼執行漏洞(漏洞編號CVE-2020-0796)。該漏洞主要影響Win10系統,其原理與“永恒之藍”類似,存在被蠕蟲化利用的可能,一旦利用成功可在目標機器上執行任意代碼,潛在威脅較大。
我院網絡信息中心針對此漏洞預警立即實施相關安全防護措施,在網絡安全域邊界防火墻對文件打印機共享端口(TCP:135/139/445)進行核實封堵。但還需要各單位及各用戶保持良好的辦公習慣,文明上網,不接收和點擊來歷不明的文件、郵件附件,建議使用本院郵箱,并做好數據備份工作,防止感染病毒。現將具體的漏洞影響范圍及相關建議與應對措施提示如下:
一、漏洞影響范圍
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64 Systems
Windows 10 Version 1903 x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903(Server Core installation)
Windows Server, version 1909(Server Core installation)Systems
二、建議應對措施
1 目前微軟尚未發布漏洞詳情及補丁,其提供的臨時緩解措施如下:
通過PowerShell命令禁用SMBv3壓縮功能(是否使用需要結合業務進行判斷),以阻止未經身份驗證的惡意攻擊者對SMBv3服務端的漏洞利用:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force,執行此操作無需重啟系統,但對SMBv3客戶端無效。取消禁用可以執行以下命令:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force ;
2.若無業務必要,在網絡安全域邊界防火墻封堵文件打印和共享端口(tcp:135/139/445);
3.請保持良好辦公習慣,不接收和點擊來歷不明的文件、郵件附件,并做好數據備份工作,防止感染病毒;
4.關注微軟官方公告,及時升級官方補丁, 避免引發漏洞相關的網絡安全事件。
辦公室 網絡信息中心
2020年3月19日