Windows 10
De senaste versionerna av Windows 10, nämligen v1903 och v1909, innehåller en exploaterbar säkerhetsproblem som kan användas för att utnyttja SMB-protokollet (Server Message Block). SMBv3-servrar och klienter kan komprometteras med framgång och användas för att köra godtycklig kod. Vad som är ännu viktigare är att säkerhetsproblemet kan utnyttjas på distans med några enkla metoder.
Microsoft har erkänt en ny säkerhetsproblem i Microsoft Server Message Block 3.1.1 (SMB) -protokollet. Företaget verkar ha tidigare läckt ut detaljerna av misstag under veckans uppdateringar om Patch Tuesday. De sårbarhet kan utnyttjas på distans för att köra kod på en SMB-server eller klient. I huvudsak handlar det om ett RCE-fel (Remote Code Execution).
Microsoft bekräftar säkerhetsproblem i SMBv3:
I en säkerhetsrådgivning publicerad i går förklarade Microsoft att sårbarheten påverkar versionerna 1903 och 1909 av Windows 10 och Windows Server. Företaget var dock snabbt med att påpeka att felet ännu inte har utnyttjats. För övrigt läcker företaget enligt uppgift detaljerna om säkerhetssårbarheten märkt som CVE-2020-0796. Men samtidigt publicerade företaget inga tekniska detaljer. Microsoft erbjöd bara korta sammanfattningar som beskriver felet. Plocka upp på samma, flera digitala säkerhetsproduktföretag som ingår i företagets Active Protections Program och får tidig tillgång till felinformation publicerade informationen.
CVE-2020-0796 - en 'avmaskbar' SMBv3-sårbarhet.
Bra…
pic.twitter.com/E3uPZkOyQN
- MalwareHunterTeam (@malwrhunterteam) 10 mars 2020
Det är viktigt att notera att säkerhetsfelet för SMBv3 inte har en patch klar ännu. Det är uppenbart att Microsoft kanske ursprungligen har planerat att släppa en korrigeringsfil för denna sårbarhet men inte kunde, och sedan misslyckades med att uppdatera branschpartner och leverantörer. Detta ledde till publiceringen av säkerhetsproblemet som fortfarande kan utnyttjas i naturen.
Hur kan angripare utnyttja säkerhetsproblemet i SMBv3-säkerhet?
Medan detaljer fortfarande framträder påverkas datorsystem som kör Windows 10 version 1903, Windows Server v1903 (Server Core installation), Windows 10 v1909 och Windows Server v1909 (Server Core installation). Det är dock ganska troligt att tidigare iterationer av Windows OS också kan vara sårbara.
En kritisk bugg i Microsofts SMBv3-implementering publicerades under mystiska omständigheter. https://t.co/8kGcNEpw7R
- Zack Whittaker (@zackwhittaker) 11 mars 2020
Förklarar det grundläggande konceptet och typen av SMBv3-säkerhetsproblemet, noterade Microsoft: ”För att utnyttja sårbarheten mot en SMB-server kan en obehörig angripare skicka ett speciellt utformat paket till en riktad SMBv3-server. För att utnyttja sårbarheten mot en SMB-klient skulle en obehörig angripare behöva konfigurera en skadlig SMBv3-server och övertyga en användare att ansluta till den. ”
Medan detaljerna är lite knappa att komma med, indikerar experter att SMBv3-buggen kan tillåta fjärranfallare att ta full kontroll över de utsatta systemen. Dessutom kan säkerhetssårbarheten också vara avmaskbar. Med andra ord kan angripare automatisera attacker via komprometterade SMBv3-servrar och attackera flera maskiner.
Hur skyddar jag Windows OS- och SMBv3-servrar från ny säkerhetsproblem?
Microsoft kan ha erkänt förekomsten av en säkerhetsproblem i SMBv3. Företaget har dock inte erbjudit någon patch för att skydda densamma. Användare får inaktivera SMBv3-komprimering för att förhindra angripare från att utnyttja sårbarheten mot en SMB-server. Det enkla kommandot att köra inuti PowerShell är som följer:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force
För att ångra det tillfälliga skyddet mot SMBv3-säkerhetsproblem, skriv in följande kommando:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 0 -Force
Många företag är INTE sårbara för # SMBv3 CVE-2020-0796, de kör fortfarande Windows XP / 7 och Server 2003/2008. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- CISOwithHoodie (@SecGuru_OTX) 11 mars 2020
Det är viktigt att notera att metoden inte är heltäckande och bara kommer att försena eller avskräcka en angripare. Microsoft rekommenderar att blockera TCP-port '445' på brandväggar och klientdatorer. ”Detta kan hjälpa till att skydda nätverk från attacker som har sitt ursprung utanför företagets perimeter. Att blockera de drabbade hamnarna vid företagets omkrets är det bästa försvaret för att undvika internetbaserade attacker, ”rekommenderade Microsoft.
Taggar Windows windows 10
