院属各单位、机关各处室:
近期,中共湖南省委网络安全和信息化委员会办公室接到中央网信办网络安全应急协调联动平台的预警通报称:3月10日,微软官方发布了针对Windows 10/Server禁用SMBv3(SMB 3.1.1版本)协议压缩的指南公告,以此缓解SMBv3协议(用于文件共享与打印服务)在处理调用请求时的一个远程代码执行漏洞(漏洞编号CVE-2020-0796)。该漏洞主要影响Win10系统,其原理与“永恒之蓝”类似,存在被蠕虫化利用的可能,一旦利用成功可在目标机器上执行任意代码,潜在威胁较大。
我院网络信息中心针对此漏洞预警立即实施相关安全防护措施,在网络安全域边界防火墙对文件打印机共享端口(TCP:135/139/445)进行核实封堵。但还需要各单位及各用户保持良好的办公习惯,文明上网,不接收和点击来历不明的文件、邮件附件,建议使用本院邮箱,并做好数据备份工作,防止感染病毒。现将具体的漏洞影响范围及相关建议与应对措施提示如下:
一、漏洞影响范围
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64 Systems
Windows 10 Version 1903 x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903(Server Core installation)
Windows Server, version 1909(Server Core installation)Systems
二、建议应对措施
1 目前微软尚未发布漏洞详情及补丁,其提供的临时缓解措施如下:
通过PowerShell命令禁用SMBv3压缩功能(是否使用需要结合业务进行判断),以阻止未经身份验证的恶意攻击者对SMBv3服务端的漏洞利用:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force,执行此操作无需重启系统,但对SMBv3客户端无效。取消禁用可以执行以下命令:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force ;
2.若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/445);
3.请保持良好办公习惯,不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染病毒;
4.关注微软官方公告,及时升级官方补丁, 避免引发漏洞相关的网络安全事件。
办公室 网络信息中心
2020年3月19日