漏洞情报 | Microsoft Windows SMBv3远程代码执行漏洞（水滴支持检测）

SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同操作系统的计算机之间提供文件及打印机等资源的共享服务。SMB 协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其它资源。

近日，微软已经确认在Windows 10最新版本中存在一个影响SMBv3协议的新的严重漏洞，可能允许攻击者在SMB服务器上远程执行代码。

默安科技的 水滴主机安全防护系统 目前已支持该漏洞的检测，如果您的企业存在相关风险，可以联系我们辅助检测是否受到此类漏洞影响，以免被攻击者恶意利用，造成品牌和经济损失。

该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的，它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法.最终导致整数溢出。

对于该漏洞，目前默安科技的水滴主机安全防护系统已支持通过相关应急插件进行批量检测，如下图所示。