请教一下：针对漏洞 CVE-2020-0796

有没有可能这个漏洞只存在于 Windows 10 ，Version 1903 ，1909 ，Windows Server Version 1903 ，Windows Server Version 1909 这几个版本。

这个漏洞是 2020 年 3 月发布的，在这个时间之后发布的新 win10 版本，大概率已经被修复了，所以不需要再额外安装补丁。你把系统的自动更新打开，更新到最新版本的更新就没啥问题了。

@cdlnls #3 内网系统连不上网

@cdlnls #2 但是现在扫漏洞扫出来了

@aoding 好奇，同时也为未来潜在的网络威胁作打算，请问一下怎么扫漏洞的？

下一个最新补丁包+stack 就行。

@aoding 哈哈哈哈，没有不好的意思，但既然是完全断网工作的内网系统，为什么需要担心远程漏洞

20h2 October 20, 2020 ，明显你的系统没有这个漏洞，这肯定误报了

@Qiane 他不是说了漏扫吗，明显厂商的漏扫扫的，这应该是合规要求。

搜索了一下这个： https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2020-0796
这里面确实没有你的 20h2 的版本，所以你的漏洞扫描可能是误报。你可以试试按照它的说明 Disable SMBv3 compression ，也能起到作用。

有 POC
https://github.com/jamf/CVE-2020-0796-RCE-POC

不要轻易执行 POC ，但你可以看看后面提供的文章，再查一下自己有没有问题。

@cdlnls #11 搜索了一下，若暂时无法及时安装补丁修复漏洞，可采取以下缓解措施 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force ，不太明白这个缓解是啥意思，是可以解决漏洞还是不可以？

@Mithril #12 目前系统上线运行，有风险的不太敢搞

@aoding 放心，你的系统没有这个漏洞。直接怼，就说你的系统版本没有这个漏洞，让安全厂商拿出证据。他们会立刻给你认错，然后告诉你这是个误报。

@aoding 漏洞还在。增加了利用难度。

@proxytoworld #7 请问一下，不太懂这方面，像这个补丁包是 2022-04 应该足够了吧，下载了直接运行.msu 文件不可以吗？

@RandomK #15 大佬硬气，明天去找安全组问问

CVE-2020-0796 发布于 2020 年 3 月，根据微软公司的公告，该漏洞只影响以下版本的 Windows：
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems

除此以外的版本不受影响。你的 Windows 版本明显是新版本，出厂时已经修复。

微软公司提供了手动修复该 CVE 漏洞的措施，参考： https://msrc.microsoft.com/update-guide/en-US/advisory/ADV200005

至于为何扫描出该漏洞？那是扫描器的误报，证明这个扫描器做的不够好。

@PHPer233 #19 好的，明天先去问一下；有问题网上也搜了一下这个禁用命令若，说是暂时无法及时安装补丁修复漏洞，可采取以下缓解措施 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force ，不太明白这个缓解是啥意思，是可以解决漏洞还是不可以？

@aoding 就是能修复漏洞

@PHPer233 #21 好的谢谢，明天试一下，但是这个也是针对 win10 1903 1909 等系统，不知道 win10 20h2 这个执行会不会有风险，比如说影响到别的服务

@aoding 这个注册表就是仅用了 SMB 的压缩功能。

这个 CVE 需要 SMB 的压缩功能去触发，至少 POC 是需要的。

如果你们的服务不需要 SMB ，直接禁掉整个 SMB 服务就行。如果需要，那还是建议升级。但你已经是最新了。
你可以找个虚拟机，装个同版本的或者 dump 一下你现在的系统。然后按照你机器的设置打开 SMB 服务，找个隔离的环境跑一下 POC 试试能不能触发。
按理说你这更新的系统应该已经不会有这个问题的。

你的系统就没有这漏洞啊，漏洞是 20203 月份，你的系统是 2020 10 月份...

@cdlnls @Qiane @proxytoworld @Mithril @RandomK @zzznow @PHPer233 感谢给位大佬的意见，没啥好东西，给大家听个响😁

君住城中村送您一张会员礼品卡，快来看看 TA 的祝福吧! http://163cn.tv/7xVfh2 (@网易云音乐)

@aoding 泪目