Windows 10
Ultimele ediții ale Windows 10, și anume v1903 și v1909, conțin o vulnerabilitate de securitate exploatabilă care poate fi utilizată pentru a exploata protocolul Server Message Block (SMB). Serverele și clienții SMBv3 pot fi compromise cu succes și utilizate pentru a rula cod arbitrar. Ceea ce este și mai îngrijorător este faptul că vulnerabilitatea de securitate poate fi exploatată de la distanță folosind câteva metode simple.
Microsoft a recunoscut o nouă vulnerabilitate de securitate în protocolul Microsoft Server Message Block 3.1.1 (SMB). Compania pare să fi scos anterior detaliile în mod accidental în timpul actualizărilor Patch Tuesday din această săptămână. vulnerabilitatea poate fi exploatată de la distanță pentru a executa cod pe un server sau client SMB. În esență, acesta este un bug referitor la RCE (Remote Code Execution).
Microsoft confirmă vulnerabilitatea de securitate în interiorul SMBv3:
Într-o consultanță de securitate publicat ieri, Microsoft a explicat că vulnerabilitatea afectează versiunile 1903 și 1909 ale Windows 10 și Windows Server. Cu toate acestea, compania a subliniat rapid că defectul nu a fost încă exploatat. De altfel, compania ar fi scurs detalii despre vulnerabilitatea de securitate etichetată ca CVE-2020-0796. Dar, în timp ce făcea acest lucru, compania nu a publicat detalii tehnice. Microsoft a oferit doar scurte rezumate care descriu eroarea. Publicând informațiile, preluând aceleași companii multiple de produse de securitate digitală care fac parte din programul de protecție activă al companiei și care au acces timpuriu la informațiile despre erori.
CVE-2020-0796 - o vulnerabilitate SMBv3 „viermă”.
Grozav…
pic.twitter.com/E3uPZkOyQN
- MalwareHunterTeam (@malwrhunterteam) 10 martie 2020
Este important să rețineți că eroarea de securitate SMBv3 nu are încă un patch pregătit. Este evident că Microsoft ar fi planificat inițial să lanseze un patch pentru această vulnerabilitate, dar nu a reușit, iar apoi nu a reușit să actualizeze partenerii și furnizorii din industrie. Acest lucru a condus la publicarea vulnerabilității de securitate care poate fi încă exploatată în sălbăticie.
Cum pot exploata atacatorii vulnerabilitatea de securitate SMBv3?
În timp ce încă apar detalii, sunt afectate sistemele computerizate care rulează Windows 10 versiunea 1903, Windows Server v1903 (instalare Server Core), Windows 10 v1909 și Windows Server v1909 (instalare Server Core). Cu toate acestea, este destul de probabil ca iterațiile anterioare ale sistemului de operare Windows să fie, de asemenea, vulnerabile.
Un bug critic în implementarea Microsoft SMBv3 a fost publicat în circumstanțe misterioase. https://t.co/8kGcNEpw7R
- Zack Whittaker (@zackwhittaker) 11 martie 2020
Explicând conceptul de bază și tipul vulnerabilității de securitate SMBv3, Microsoft a remarcat: „Pentru a exploata vulnerabilitatea împotriva unui server SMB, un atacator neautentificat ar putea trimite un pachet special creat către un server SMBv3 vizat. Pentru a exploata vulnerabilitatea împotriva unui client SMB, un atacator neautentificat ar trebui să configureze un server SMBv3 dăunător și să convingă un utilizator să se conecteze la acesta. ”
În timp ce detaliile sunt puțin rare, experții indică că eroarea SMBv3 ar putea permite atacatorilor la distanță să preia controlul deplin asupra sistemelor vulnerabile. Mai mult, vulnerabilitatea de securitate ar putea fi, de asemenea, viermă. Cu alte cuvinte, atacatorii ar putea automatiza atacurile prin intermediul serverelor SMBv3 compromise și să atace mai multe mașini.
Cum să protejăm serverele Windows și SMBv3 de o nouă vulnerabilitate de securitate?
Este posibil ca Microsoft să fi recunoscut existența unei vulnerabilități de securitate în cadrul SMBv3. Cu toate acestea, compania nu a oferit niciun patch pentru a le proteja. Utilizatorii pot dezactivați compresia SMBv3 pentru a preveni atacatorii de la exploatarea vulnerabilității împotriva unui server SMB. Comanda simplă de executat în PowerShell este următoarea:
Set-ItemProperty -Path „HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force
Pentru a anula protecția temporară împotriva vulnerabilității de securitate SMBv3, introduceți următoarea comandă:
Set-ItemProperty -Path „HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 0 -Force
Multe companii NU sunt vulnerabile pentru # SMBv3 CVE-2020-0796, acestea încă rulează Windows XP / 7 și Server 2003/2008. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- CISOwithHoodie (@SecGuru_OTX) 11 martie 2020
Este important să rețineți că metoda nu este cuprinzătoare și că va întârzia sau descuraja un atacator. Microsoft recomandă blocarea portului TCP ‘445’ pe firewall-uri și computerele client. „Acest lucru poate ajuta la protejarea rețelelor împotriva atacurilor care au originea în afara perimetrului întreprinderii. Blocarea porturilor afectate la perimetrul întreprinderii este cea mai bună metodă de apărare pentru a evita atacurile bazate pe internet ”, a recomandat Microsoft.
Etichete Windows ferestre 10
