V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
aoding
V2EX  ›  Windows

请教一下:针对漏洞 CVE-2020-0796

  •  
  •   aoding · 265 天前 · 2208 次点击
    这是一个创建于 265 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的系统版本是 win10 20h2 ,但网上找的补丁包只有针对系统 Windows 10 ,Version 1903 ,1909 ,Windows Server Version 1903 ,Windows Server Version 1909 ,这个该怎么办?

    27 条回复    2024-03-11 23:21:21 +08:00
    aoding
        1
    aoding  
    OP
       265 天前
    cdlnls
        2
    cdlnls  
       265 天前
    有没有可能这个漏洞只存在于 Windows 10 ,Version 1903 ,1909 ,Windows Server Version 1903 ,Windows Server Version 1909 这几个版本。
    cdlnls
        3
    cdlnls  
       265 天前
    这个漏洞是 2020 年 3 月发布的,在这个时间之后发布的新 win10 版本,大概率已经被修复了,所以不需要再额外安装补丁。你把系统的自动更新打开,更新到最新版本的更新就没啥问题了。
    aoding
        4
    aoding  
    OP
       265 天前
    @cdlnls #3 内网系统连不上网
    aoding
        5
    aoding  
    OP
       265 天前
    @cdlnls #2 但是现在扫漏洞扫出来了
    Qiane
        6
    Qiane  
       265 天前
    @aoding 好奇,同时也为未来潜在的网络威胁作打算,请问一下怎么扫漏洞的?
    proxytoworld
        7
    proxytoworld  
       265 天前
    下一个最新补丁包+stack 就行。
    Qiane
        8
    Qiane  
       265 天前
    @aoding 哈哈哈哈,没有不好的意思,但既然是完全断网工作的内网系统,为什么需要担心远程漏洞
    proxytoworld
        9
    proxytoworld  
       265 天前
    20h2 October 20, 2020 ,明显你的系统没有这个漏洞,这肯定误报了
    proxytoworld
        10
    proxytoworld  
       265 天前
    @Qiane 他不是说了漏扫吗,明显厂商的漏扫扫的,这应该是合规要求。
    cdlnls
        11
    cdlnls  
       265 天前
    搜索了一下这个: https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2020-0796
    这里面确实没有你的 20h2 的版本,所以你的漏洞扫描可能是误报。你可以试试按照它的说明 Disable SMBv3 compression ,也能起到作用。
    Mithril
        12
    Mithril  
       265 天前
    有 POC
    https://github.com/jamf/CVE-2020-0796-RCE-POC

    不要轻易执行 POC ,但你可以看看后面提供的文章,再查一下自己有没有问题。
    aoding
        13
    aoding  
    OP
       264 天前
    @cdlnls #11 搜索了一下,若暂时无法及时安装补丁修复漏洞,可采取以下缓解措施 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force ,不太明白这个缓解是啥意思,是可以解决漏洞还是不可以?
    aoding
        14
    aoding  
    OP
       264 天前
    @Mithril #12 目前系统上线运行,有风险的不太敢搞
    RandomK
        15
    RandomK  
       264 天前
    @aoding 放心,你的系统没有这个漏洞。直接怼,就说你的系统版本没有这个漏洞,让安全厂商拿出证据。他们会立刻给你认错,然后告诉你这是个误报。
    zzznow
        16
    zzznow  
       264 天前
    @aoding 漏洞还在。增加了利用难度。
    aoding
        17
    aoding  
    OP
       264 天前
    @proxytoworld #7 请问一下,不太懂这方面,像这个补丁包是 2022-04 应该足够了吧,下载了直接运行.msu 文件不可以吗?
    aoding
        18
    aoding  
    OP
       264 天前
    @RandomK #15 大佬硬气,明天去找安全组问问
    PHPer233
        19
    PHPer233  
       264 天前
    CVE-2020-0796 发布于 2020 年 3 月,根据微软公司的公告,该漏洞只影响以下版本的 Windows:
    Windows Server, version 1903 (Server Core installation)
    Windows Server, version 1909 (Server Core installation)
    Windows 10 Version 1903 for ARM64-based Systems
    Windows 10 Version 1903 for x64-based Systems
    Windows 10 Version 1903 for 32-bit Systems
    Windows 10 Version 1909 for ARM64-based Systems
    Windows 10 Version 1909 for x64-based Systems
    Windows 10 Version 1909 for 32-bit Systems

    除此以外的版本不受影响。你的 Windows 版本明显是新版本,出厂时已经修复。

    微软公司提供了手动修复该 CVE 漏洞的措施,参考: https://msrc.microsoft.com/update-guide/en-US/advisory/ADV200005

    至于为何扫描出该漏洞?那是扫描器的误报,证明这个扫描器做的不够好。
    aoding
        20
    aoding  
    OP
       264 天前
    @PHPer233 #19 好的,明天先去问一下;有问题网上也搜了一下这个禁用命令若,说是暂时无法及时安装补丁修复漏洞,可采取以下缓解措施 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force ,不太明白这个缓解是啥意思,是可以解决漏洞还是不可以?
    PHPer233
        21
    PHPer233  
       264 天前
    @aoding 就是能修复漏洞
    aoding
        22
    aoding  
    OP
       264 天前
    @PHPer233 #21 好的谢谢,明天试一下,但是这个也是针对 win10 1903 1909 等系统,不知道 win10 20h2 这个执行会不会有风险,比如说影响到别的服务
    Mithril
        23
    Mithril  
       264 天前
    @aoding 这个注册表就是仅用了 SMB 的压缩功能。

    这个 CVE 需要 SMB 的压缩功能去触发,至少 POC 是需要的。

    如果你们的服务不需要 SMB ,直接禁掉整个 SMB 服务就行。如果需要,那还是建议升级。但你已经是最新了。
    你可以找个虚拟机,装个同版本的或者 dump 一下你现在的系统。然后按照你机器的设置打开 SMB 服务,找个隔离的环境跑一下 POC 试试能不能触发。
    按理说你这更新的系统应该已经不会有这个问题的。
    proxytoworld
        24
    proxytoworld  
       264 天前
    你的系统就没有这漏洞啊,漏洞是 20203 月份,你的系统是 2020 10 月份...
    aoding
        25
    aoding  
    OP
       261 天前
    @cdlnls @Qiane @proxytoworld @Mithril @RandomK @zzznow @PHPer233 感谢给位大佬的意见,没啥好东西,给大家听个响😁
    aoding
        26
    aoding  
    OP
       261 天前
    君住城中村送您一张会员礼品卡,快来看看 TA 的祝福吧! http://163cn.tv/7xVfh2 (@网易云音乐)
    proxytoworld
        27
    proxytoworld  
       260 天前
    @aoding 泪目
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5403 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 08:19 · PVG 16:19 · LAX 00:19 · JFK 03:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.