Kritisk sårbarhet I Microsoft SMBv3 (CVE-2020-0796)

Microsoft med detaljer rundt en ny «wormable» sårbarhet (CVE-2020-.0796) i SMBv3 protokollen.

 

Beskrivelse

Sårbarheten ligger I SMBv3 nettverks protokollen og har ikke blitt fikset i den planlagte tirsdagsoppdateringen i mars 2020.

Feilen ligger i måten SMBv3 håndterer skadelige komprimerte data pakker og en ekstern uautorisert angriper kan utnytte sårbarheten til å kjøre vilkårlig kode.

Innvirkning

Angripere kan få full kontroll over sårbare systemer.

Sårbare systemer
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)
 Anbefalinger

Siden Microsoft ennå ikke har lansert en fiks for sårbarheten bør det implementeres tiltak på nettverksnivå for å hindre angrep. Ved å slå av SMBv3 komprimering og blokkere for TCP 445 på klient maskiner og brannmurer, så forhindrer du angripere i å kompromittere brukere og servere.

For å slå av SMBv3 komprimering på servere med PowerShell (ingen omstart er påkrevd):

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» DisableCompression -Type DWORD -Value 1 -Force

For å beskytte nettverket ditt:

  1. blokkere TCP port 445 på den sentrale brannmuren

ved å blokkere TCP 445 i den sentrale brannmuren beskyttes klienter som er bak brannmuren fra angrep utenfra. Men de kan fortsatt være sårbare på innsiden fra f.eks. andre infiserte klienter som forsøker angrep eller fra angripere som har kommet forbi brannmuren.

  1. Microsoft har en større artikkel for hvordan begrense og blokkere SMB trafikk.

Referanser

  1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
  2. https://fortiguard.com/encyclopedia/ips/48773
  3. https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/
  4. https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fblog.talosintelligence.com%2f2020%2f03%2fmicrosoft-patch-tuesday-march-2020.html&w=NrvF66m3pULMCOMEBw-cKyRUwi9s1qXv&d=928684983196

 

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.