影響を受けるWindowsのバージョン

• Windows 10 Version 1903
• Windows 10 Version 1909
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)

攻撃経路

• 脆弱なSMBv3サーバに攻撃パケットを送信
• 脆弱なSMBクライアントを悪意のあるSMBv3サーバにアクセスさせる

対策

• 修正パッチを当てる
• SMBサーバをインターネット上に公開しない

• SMBv3のデータ圧縮機能を無効化する

  • Microsoftが機能を無効化するPowershellコードを公開している

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

• 外部宛てのSMB通信を許可しない

  • "smb://"のようなスキームを利用して攻撃が行われる可能性

メモ

• リモートコード実行の脆弱性
• SMBv3のデータ圧縮機能に不具合
• 現時点(3/12)で修正パッチは存在しない
  • 修正パッチリリース(3/13)
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
• 現時点(3/12)でPoCは公開されていない(模様)
  • GitHubにSMBサーバが脆弱かどうかを調査するツールが公開されている https://github.com/ollypwn/SMBGhost

参考リンク

• ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression

• Windows10などで用いられるファイル共有プロトコルSMBv3の脆弱性について

• Critical SMBv3 Vulnerability: Remote Code Execution

• 定例外で修正されたSMBv3の脆弱性（CVE-2020-0796）についてまとめてみた

• 微软SMBv3客户端/服务端远程代码执行漏洞（CVE-2020-0796）技术分析