关于防范微软SMBv3远程代码执行漏洞和LNK漏洞的通知

各位师生：

2020年3月11日，微软发布2020年3月安全公告，其中包括“蠕虫型”SMBv3远程代码执行漏洞（CVE-2020-0796）和“震网级”LNK漏洞（CVE-2020-0684）。根据微软漏洞公告和有关安全厂商通报，存在漏洞的主机可被攻击者利用，实现无须权限即可执行远程代码而被入侵，并存在被勒索病毒利用造成更大损失的可能。请广大师生尽快升级系统补丁或采用相应的防护措施，避免被勒索病毒攻击和发生网络安全事件。漏洞具体情况如下：

微软SMBv3远程代码执行漏洞（CVE-2020-0796）

1、漏洞描述

微软SMBv3远程代码执行漏洞（SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码）可被攻击者利用，实现无须权限即可执行远程代码，受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列，存在被WannaCry等勒索蠕虫利用的可能，攻击者可以构造特定的网页、压缩包、共享目录、Office文档等多种方式触发漏洞进行攻击，对存在该漏洞的Windows主机造成严重威胁。

2、影响范围

该漏洞不影响Windows7，漏洞影响Windows10 1903之后的32位、64位Windows版本，包括家用版、专业版、企业版、教育版。具体列表如下：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

3、漏洞类型

远程代码执行。

4、漏洞等级

高危

5、防护方案

①直接运行Windows更新，完成Windows10 2020年3月累积更新补丁的安装。

操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

②也可以访问微软该漏洞官方页面（https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796），选择相应Windows版本的安全更新，独立安装该漏洞安全补丁。

③也可以通过手动或PowerShell修改注册表，防止被黑客远程攻击：

手动：在命令行下运行regedit.exe，打开注册表编辑器，在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD，值为1，禁止SMB的压缩功能。

PowerShell：Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters DisableCompression -Type DWORD -Value 1 -Force

微软LNK漏洞

（CVE-2020-0684）

1、漏洞描述

如果微软Windows中存在该漏洞，在处理.LNK文件可能会允许远程代码执行，成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。攻击者可以利用该漏洞，通过向用户提供包含恶意.LNK文件和相关恶意二进制文件的可移动驱动器或远程共享，当用户在Windows资源管理器或任何其他解析.LNK文件的应用程序中打开此驱动器或远程共享时，恶意二进制文件将在目标系统上执行攻击者选择的代码。

2、影响范围

Windows 10 

Windows 10 Version 1607

Windows 10 Version 1709

Windows 10 Version 1803

Windows 10 Version 1809

Windows 10 Version 1903

Windows 10 Version 1909

Windows 7 Service Pack 1

Windows 8.1

Windows RT 8.1

Windows Server 2008 Service Pack 2

Windows Server 2008 R2 Service Pack 1

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server, version 1803 

Windows Server, version 1903

Windows Server, version 1909

3、漏洞类型

远程代码执行

4、漏洞等级

高危

5、防护方案

①直接运行Windows更新，完成Windows10 2020年3月累积更新补丁的安装。

操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

②也可以访问微软该漏洞官方页面（https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0684），选择相应Windows版本的安全更新，独立安装该漏洞安全补丁。

③未下载补丁的用户应尽量避免接收他人发送过来的LNK文件或打开存有LNK文件的存储设备，如打开陌生人提供的U盘。

请各位师生保持良好的用网习惯，不下载、打开、运行未知软件和Office文档，做好重要数据备份和离线保存，及时更新Windows操作系统补丁，避免被勒索病毒攻击和发生网络安全事件。

网络安全与信息化办公室

2020年3月13日