SMBv3 - критическая уязвимость удаленного выполнения кода
Резюме.
10 марта 2020 года Microsoft выпустила рекомендации по безопасности [1] для уязвимости удаленного выполнения кода, затрагивающей протокол Microsoft Server Message Block 3.1.1 (SMBv3). Злоумышленник, не прошедший проверку подлинности и успешно использовавший код уязвимости, выполняет исполняемый код на целевом SMB-сервере или SMB-клиенте. Уязвимость упоминается как CVE-2020-0796.
Технические подробности:
Уязвимость может быть использована двумя различными способами:
• отправив специально созданный пакет на целевой сервер SMBv3,
• убедив пользователя подключиться к вредоносному серверу SMBv3.
Однако Microsoft не раскрыла техническую информацию об этой уязвимости. Основываясь на обходном пути, предоставленном Microsoft [1], уязвимость, по-видимому, связана с обработкой сжатых пакетов данных. FortiGuard Labs также выпустила правило IPS, описывающее уязвимость как связанную с переполнением буфера [2]. Согласно FortiGuard Labs, уязвимость вызвана ошибкой, когда уязвимое программное обеспечение обрабатывает вредоносный пакет сжатых данных.
Затрагиваемые продукты:
• Windows 10 версии 1903 для 32-разрядных систем
• Windows 10 версии 1903 для систем на базе ARM64
• Windows 10 версии 1903 для систем на базе 64
• Windows 10 версии 1909 для 32-разрядных систем
• Windows 10 версии 1909 для ARM64- системы на базе
• Windows 10 версии 1909 для систем на базе x641
• Windows Server, версия 1903 (установка Server Core)
• Windows Server, версия 1909 (установка Server Core)
Рекомендации:
Так как пока нет исправления для этой уязвимости, Microsoft рекомендует отключить сжатие SMBv3 на серверах SMB в качестве обходного пути (см. Ниже). Эта рекомендация будет обновлена, когда будет доступно исправление. Чтобы предотвратить использование этой уязвимости внешними злоумышленниками, убедитесь, что:
• нет доступа к серверу SMB из Интернета (TCP/445),
• рабочие станции не могут получить доступ к серверу SMB вне внутренней сети (TCP/445) [3]
Следующая команда powershell может использоваться для отключения сжатия SMBv3 на SMBv3Server (это не предотвращает эксплуатацию клиентов SMBv3):
Список литературы:
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
[2] https://fortiguard.com/encyclopedia/ips/48773
[3] HTTPS://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections
https://media.cert.europa.eu/static/SecurityAdvisories/2020/CERT-EU-SA2020-014.pdf
10 марта 2020 года Microsoft выпустила рекомендации по безопасности [1] для уязвимости удаленного выполнения кода, затрагивающей протокол Microsoft Server Message Block 3.1.1 (SMBv3). Злоумышленник, не прошедший проверку подлинности и успешно использовавший код уязвимости, выполняет исполняемый код на целевом SMB-сервере или SMB-клиенте. Уязвимость упоминается как CVE-2020-0796.
Технические подробности:
Уязвимость может быть использована двумя различными способами:
• отправив специально созданный пакет на целевой сервер SMBv3,
• убедив пользователя подключиться к вредоносному серверу SMBv3.
Однако Microsoft не раскрыла техническую информацию об этой уязвимости. Основываясь на обходном пути, предоставленном Microsoft [1], уязвимость, по-видимому, связана с обработкой сжатых пакетов данных. FortiGuard Labs также выпустила правило IPS, описывающее уязвимость как связанную с переполнением буфера [2]. Согласно FortiGuard Labs, уязвимость вызвана ошибкой, когда уязвимое программное обеспечение обрабатывает вредоносный пакет сжатых данных.
Затрагиваемые продукты:
• Windows 10 версии 1903 для 32-разрядных систем
• Windows 10 версии 1903 для систем на базе ARM64
• Windows 10 версии 1903 для систем на базе 64
• Windows 10 версии 1909 для 32-разрядных систем
• Windows 10 версии 1909 для ARM64- системы на базе
• Windows 10 версии 1909 для систем на базе x641
• Windows Server, версия 1903 (установка Server Core)
• Windows Server, версия 1909 (установка Server Core)
Рекомендации:
Так как пока нет исправления для этой уязвимости, Microsoft рекомендует отключить сжатие SMBv3 на серверах SMB в качестве обходного пути (см. Ниже). Эта рекомендация будет обновлена, когда будет доступно исправление. Чтобы предотвратить использование этой уязвимости внешними злоумышленниками, убедитесь, что:
• нет доступа к серверу SMB из Интернета (TCP/445),
• рабочие станции не могут получить доступ к серверу SMB вне внутренней сети (TCP/445) [3]
Следующая команда powershell может использоваться для отключения сжатия SMBv3 на SMBv3Server (это не предотвращает эксплуатацию клиентов SMBv3):
Чтобы отключить обходной путь, как только исправление станет доступно, можно использовать следующую команду powershell:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\ Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Список литературы:
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
[2] https://fortiguard.com/encyclopedia/ips/48773
[3] HTTPS://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections
https://media.cert.europa.eu/static/SecurityAdvisories/2020/CERT-EU-SA2020-014.pdf
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Корпорация Майкрософт выпустила обновление для системы безопасности KB4551762 для исправления уязвимости RCE Windows 10, которая была обнаружена в блоке сообщений Microsoft Server 3.1.1 (SMBv3), спустя два дня после того, как во вторник, выпущенный в марте 2020 года, были раскрыты сведения о недостатке.
По данным Microsoft, обновление безопасности KB4551762, отслеживаемое как CVE-2020-0796, устраняет «проблему протокола сетевой связи, которая обеспечивает общий доступ к файлам, принтерам и последовательным портам».
KB4551762 можно установить, проверив наличие обновлений через Центр обновления Windows или вручную загрузив его для своей версии Windows из каталога Центра обновления Майкрософт.
«Несмотря на то, что мы не наблюдали атаки, использующей эту уязвимость, мы рекомендуем вам применить это обновление к уязвимым устройствам с приоритетом, - говорит Microsoft.
Уязвимость, получившая название SMBGhost или EternalDarkness, распространяется только на устройства под управлением Windows 10, версии 1903 и 1909, и Windows Server Server Core, версии 1903 и 1909.
Microsoft объяснила, что эта уязвимость существует только в новой функции, добавленной в Windows 10 версии 1903, и что более старые версии Windows не поддерживают сжатие SMBv3.1.1, которое стоит за этой ошибкой.
https://www.bleepingcomputer.com/news/security/microsoft-releases-kb4551762-security-update-for-smbv3-vulnerability/