Iscurela je informacija o Server Message Block 3.0 (SMBv3) ranjivosti za koju ne postoji patch. Ne zna se tačno kako je Microsoft pustio ovu informaciju, ali sada postoji opasnost da će je napadači iskoristiti. Verovatno je trebala da bude deo martovskog Patch Tuesday izdanja, ali se taj patch nije našao na spisku. U pitanju je tzv. wormable bug, i administratori sada strahuju od WannaCry i NotPetya scenarija iz 2017, jer je upravo SMB protokol pomogao njihovom globalnom širenju.
Ranjivost je označena kao CVE-2020-0796. Radi se o pre-auth RCE ranjivosti (Buffer Overflow ranjivost) koja postoji u SMBv3 mrežnom komunikacionom protokolu, što znači da pogađa nove operativne sisteme. Fortinet je objavio spisak pogođenih proizvoda:
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows Server, version 1909 (Server Core installation)
Ranjivost se javlja zbog greške u tome kako SMBv3 obrađuje maliciozne kompresovane pakete podataka, zbog čega je neautentifikovanovanom napadaču dozvoljen remote pristup i mogućnost da ubaci maliciozni kod. Nakon uspešne eksploatacije, napadač može da preuzme potpunu kontrolu nad ranivim sistemima. Iako Microsoft nije zvanično objavio ovu ranjivost, njen opis se našao na sajtovima nekoliko security vendora koji imaju rani pristup informacijama o ranjivostima kao deo Microsoft programa aktivne zaštite - MAPP.
Zbog toga što Microsoft drži ovaj slučaj u tajnosti, pojavile su se razne teorije, a neki situaciju porede sa EternalBlue, WannaCry i NotPetya slučajevima.
Mitigacija
Dok se ne pojavi patch, potrebno je primeniti workaround:
- Onemogućiti SMBv3 kompresiju. Microsoft je ipak objavio bezbednosnu preporuku - možete onemogućiti kompresiju na SMBv3 serverima sledećom PowerShell komandom (nije potreban reboot sistema, ne sprečava eksploataciju SMB klijenata):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
- Blokirati TCP port 445. TCP port 445 se koristi za iniciranje konekcije sa pogođenom komponentom. Blokiranje ovog porta na firewallu štiti sisteme koji su iza njega od eksploatisanja ove ranjivosti spolja. Međutim, mreža nije zaštićena od napada iznutra.
Update
Pojavio se patch za SMBv3 ranjivost CVE-2020-0796. Ažurirajte odmah!