Предупреждение — не исправлена ​​критическая ошибка Wormable Windows SMBv3

Вскоре после выпуска своей ежемесячной партии обновлений безопасности Microsoft отдельно выпустила консультативное предупреждение для миллиардов своих пользователей Windows о новой критической, не исправленной уязвимости, затрагивающей протокол сетевой коммуникации Server Message Block 3.0 ( SMBv3 ).

Похоже, что Microsoft изначально планировала исправить этот недостаток только в рамках своего обновления Patch Tuesday от марта 2020 года, но по какой-то причине она отказалась в последнюю минуту.

Уязвимость (отслеживаемая как CVE-2020-0796 ), в случае успешной эксплуатации, может позволить злоумышленнику выполнить произвольный код на целевом SMB-сервере или SMB-клиенте.

Запоздалое подтверждение от Microsoft заставило некоторых исследователей назвать ошибку «SMBGhost«.

«Чтобы использовать эту уязвимость в SMB-сервере, злоумышленник, не прошедший проверку подлинности, может отправить специально созданный пакет на целевой SMBv3-сервер», — говорится в сообщении Microsoft. «Чтобы использовать уязвимость в SMB-клиенте, злоумышленнику, не прошедшему проверку подлинности, необходимо настроить вредоносный сервер SMBv3 и убедить пользователя подключиться к нему».

Хотя пока неясно, когда Microsoft планирует исправить уязвимость, компания призывает пользователей отключить сжатие SMBv3 и заблокировать TCP-порт 445 на брандмауэрах и клиентских компьютерах в качестве обходного пути.

Set-ItemProperty -Path «HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters» DisableCompression -Type DWORD -Value 1 -Force

Более того, Microsoft предупредила, что отключение сжатия SMBv3 не предотвратит эксплуатацию клиентов SMB.

Стоит отметить, что эта уязвимость затрагивает только Windows 10 версии 1903, Windows 10 версии 1909, Windows Server версии 1903 и Windows Server версии 1909. Но возможно, что больше версий затронуто, так как SMB 3.0 был представлен в Windows 8 и Windows Server 2012.

Но также необходимо обратить внимание на тот факт, что это далеко не единственный случай, когда SMB используется в качестве вектора атаки для попыток вторжения.

Только за последние несколько лет некоторые из крупных вымогателей, в том числе WannaCry и NotPetya , стали следствием эксплойтов на базе SMB.

Пока Microsoft не выпустит обновление для системы безопасности, предназначенное для исправления уязвимости CVE-2020-0796 RCE, системным администраторам рекомендуется применять обходные пути, чтобы блокировать атаки, пытающиеся использовать уязвимость.

Добавить комментарий

Войти с помощью: