请教一下：针对漏洞 CVE-2020-0796

漏洞

补丁

版本

27 replies • 2024-03-11 23:21:21 +08:00

1

aoding

OP

Mar 7, 2024

2

cctv6

Mar 7, 2024

有没有可能这个漏洞只存在于 Windows 10 ，Version 1903 ，1909 ，Windows Server Version 1903 ，Windows Server Version 1909 这几个版本。

3

cctv6

Mar 7, 2024

这个漏洞是 2020 年 3 月发布的，在这个时间之后发布的新 win10 版本，大概率已经被修复了，所以不需要再额外安装补丁。你把系统的自动更新打开，更新到最新版本的更新就没啥问题了。

4

aoding

OP

Mar 7, 2024

@cdlnls #3 内网系统连不上网

5

aoding

OP

Mar 7, 2024

@cdlnls #2 但是现在扫漏洞扫出来了

6

Qiane

Mar 7, 2024

@aoding 好奇，同时也为未来潜在的网络威胁作打算，请问一下怎么扫漏洞的？

7

proxytoworld

Mar 7, 2024

下一个最新补丁包+stack 就行。

8

Qiane

Mar 7, 2024

@aoding 哈哈哈哈，没有不好的意思，但既然是完全断网工作的内网系统，为什么需要担心远程漏洞

9

proxytoworld

Mar 7, 2024

20h2 October 20, 2020 ，明显你的系统没有这个漏洞，这肯定误报了

10

proxytoworld

Mar 7, 2024

@Qiane 他不是说了漏扫吗，明显厂商的漏扫扫的，这应该是合规要求。

11

cctv6

Mar 7, 2024

搜索了一下这个： https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2020-0796
这里面确实没有你的 20h2 的版本，所以你的漏洞扫描可能是误报。你可以试试按照它的说明 Disable SMBv3 compression ，也能起到作用。

12

Mithril

Mar 7, 2024

有 POC
https://github.com/jamf/CVE-2020-0796-RCE-POC

不要轻易执行 POC ，但你可以看看后面提供的文章，再查一下自己有没有问题。

13

aoding

OP

Mar 7, 2024

@cdlnls #11 搜索了一下，若暂时无法及时安装补丁修复漏洞，可采取以下缓解措施 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force ，不太明白这个缓解是啥意思，是可以解决漏洞还是不可以？

14

aoding

OP

Mar 7, 2024

@Mithril #12 目前系统上线运行，有风险的不太敢搞

15

RandomK

Mar 7, 2024

@aoding 放心，你的系统没有这个漏洞。直接怼，就说你的系统版本没有这个漏洞，让安全厂商拿出证据。他们会立刻给你认错，然后告诉你这是个误报。

16

zzznow

Mar 7, 2024

@aoding 漏洞还在。增加了利用难度。

17

aoding

OP

Mar 7, 2024

@proxytoworld #7

请问一下，不太懂这方面，像这个补丁包是 2022-04 应该足够了吧，下载了直接运行.msu 文件不可以吗？

18

aoding

OP

Mar 7, 2024

@RandomK #15 大佬硬气，明天去找安全组问问

19

PHPer233

Mar 7, 2024

CVE-2020-0796 发布于 2020 年 3 月，根据微软公司的公告，该漏洞只影响以下版本的 Windows：
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems

除此以外的版本不受影响。你的 Windows 版本明显是新版本，出厂时已经修复。

微软公司提供了手动修复该 CVE 漏洞的措施，参考： https://msrc.microsoft.com/update-guide/en-US/advisory/ADV200005

至于为何扫描出该漏洞？那是扫描器的误报，证明这个扫描器做的不够好。

20

aoding

OP

Mar 7, 2024

@PHPer233 #19 好的，明天先去问一下；有问题网上也搜了一下这个禁用命令若，说是暂时无法及时安装补丁修复漏洞，可采取以下缓解措施 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force ，不太明白这个缓解是啥意思，是可以解决漏洞还是不可以？

21

PHPer233

Mar 7, 2024

@aoding 就是能修复漏洞

22

aoding

OP

Mar 7, 2024

@PHPer233 #21 好的谢谢，明天试一下，但是这个也是针对 win10 1903 1909 等系统，不知道 win10 20h2 这个执行会不会有风险，比如说影响到别的服务

23

Mithril

Mar 7, 2024

@aoding 这个注册表就是仅用了 SMB 的压缩功能。

这个 CVE 需要 SMB 的压缩功能去触发，至少 POC 是需要的。

如果你们的服务不需要 SMB ，直接禁掉整个 SMB 服务就行。如果需要，那还是建议升级。但你已经是最新了。
你可以找个虚拟机，装个同版本的或者 dump 一下你现在的系统。然后按照你机器的设置打开 SMB 服务，找个隔离的环境跑一下 POC 试试能不能触发。
按理说你这更新的系统应该已经不会有这个问题的。

24

proxytoworld

Mar 7, 2024

你的系统就没有这漏洞啊，漏洞是 20203 月份，你的系统是 2020 10 月份...

25

aoding

OP

Mar 11, 2024

@cdlnls @Qiane @proxytoworld @Mithril @RandomK @zzznow @PHPer233 感谢给位大佬的意见，没啥好东西，给大家听个响😁

26

aoding

OP

Mar 11, 2024

君住城中村送您一张会员礼品卡，快来看看 TA 的祝福吧! http://163cn.tv/7xVfh2 (@网易云音乐)

27

proxytoworld

Mar 11, 2024

@aoding 泪目