Microsoft потвърди за уязвимост в протокола SMBv3, подобна на използваната от NotPetya

Текущата CVE-2020-0796 е оценена, като „Critical“ с възможно най–много точки (CVSS 10.0). За щастие все още липсва Proof-of-Concept код, който да е постигнал Remote Code Execution (RCE)

Пресиан Янкулов

24/03/2020, 11:34

Microsoft потвърди за наличието на критична „wormable“ уязвимост в SMBv3 протокола (CVE-2020-0796), използван и в най-новите версии на операционната система Windows на компанията. Преди да продължите с четенето, препоръчваме директно да инсталирате тези ъпдейти.

Какво може уязвимостта? Тъй като тя е „wormable“, CVE-2020-0796 би могла да бъде използвана за автоматично пропагандиране и инсталиране на зловреден код. Помните ли NotPetya и последствията от това кибероръжие за масово поразяване? Е, NotPetya се разпространи толкова бързо и порази толкова много машини, благодарение на подобни „wormable“ уязвимости в SMB протокола.

Какво е SMBv3? Най-новата версия на Server Message Block – или най-общо казано мрежов протокол за обмяна на файлове, който намира широко приложение в Windows. С него трябва много да се внимава и е изключително важно той да не напуска пределите на мрежата ви. Microsoft са публикували фантастична статия на тази тема, като нашите препоръки към IT служителите е да обърнат особено внимание на препоръките описани в нея.

Текущата CVE-2020-0796 е оценена, като „Critical“ с възможно най–много точки (CVSS 10.0). За щастие все още липсва Proof-of-Concept код, който да е постигнал Remote Code Execution (RCE), като най–вероятно е въпрос на време да бъде създаден успешен експлойт, но вече съществуват такива за Denial of Service и Local Priviliges Escalation.

CVE-2020-0796 е уязвимост в механизмите за компресия в SMB v3.1.1, тоест засегнатите са потребители с операционни системи:

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

Как да се защитим – приложете ъпдейтите естествено. При публикуването на новината за уязвимостта, Microsoft не бяха готови с ъпдейт, който да я закърпи и препоръките бяха да се приложи следният workaround: Disable SMBv3 compression

You can disable compression to block unauthenticated attackers from exploiting the vulnerability against an SMBv3 Server with the PowerShell command below.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Но това решение, реално защитава само уязвимите сървъри, но не и клиентите. И най – добрият подход си остана ограничаването на SMB протокола на мрежово ниво. За щастие няколко дни след първоначалното публикуване, от Redmond публикуваха и пачове!

Така, че какво чакате. Бързо приложете ъпдейтите, за да не допринесете за евентуален киберармагедон!