【风险名称】

SMB v1 远程代码执行漏洞（CVE-2020-1301）

【风险等级】

高

【风险概述】

2020 年 6 月 10 日，微软发布补丁修复了一个标注为远程代码执行的 SMB v1 漏洞：CVE-2020-1301，漏洞影响 Win7-Win10 的所有版本。该漏洞发生在 srv 驱动模块解析SMB 相关协议 MS-FSCC 中的 FSCTL_SIS_COPYFILE 请求时，没有完全验证请求中的SI_COPYFILE 结构，后续引用造成了整形溢出。与之前的 SMBGhost（SMBv3 漏洞）相比，该漏洞出现在老版本的 SMB v1 中，触发需要先通过身份认证。

【风险验证】

影响版本：Win7-Win10 的所有版本

【处置建议】

该漏洞触发需要先建立 SMB 会话，即通过身份验证，为避免受到漏洞影响，设置密码时避免使用弱口令。

同时建议关闭 SMB v1，由于 SMB v1 存在很多安全问题，如之前的永恒之蓝就是利用 SMB v1 漏洞。从 2007 年开始，SMB v2 和更高版本的协议取代了 SMB v1。Microsoft在 2014 年公开弃用了 SMB v1 协议。Windows 10 已默认关闭 SMB v1，禁用 SMB v1 不会对系统造成影响。 编号:DGFX-202006101034

各系统版本关闭 SMB v1 的方法可参考微软官方推荐的方案:

https://docs.microsoft.com/zh-cn/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3

配置如下注册表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1

REG_DWORD: 0 = Disabled

REG_DWORD: 1 = Enabled

Default: 1 = Enabled (No registry key is created)

该漏洞可使用 Windows Update 修复，或通过以下链接手动下载安装补丁：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1301

参考链接：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/2020-Jun