Nejnovější verze systému Microsoft Windows 10 obsahují chybu zabezpečení serveru RBS SMBv3 a klienta, zde jsou dočasná ochranná opatření

Windows 10

Nejnovější vydání systému Windows 10, konkrétně v1903 a v1909, obsahují zneužitelnou chybu zabezpečení, kterou lze použít k zneužití protokolu Server Message Block (SMB). Servery a klienty SMBv3 lze úspěšně kompromitovat a použít ke spuštění libovolného kódu. Ještě důležitější je skutečnost, že chybu zabezpečení lze vzdáleně zneužít pomocí několika jednoduchých metod.

Společnost Microsoft uznala novou chybu zabezpečení v protokolu Microsoft Server Message Block 3.1.1 (SMB). Zdá se, že společnost již dříve omylem prozradila podrobnosti během týdenních aktualizací Patch Tuesday. The zranitelnost lze vzdáleně zneužít spustit kód na serveru SMB nebo na klientovi. V zásadě se jedná o chybu RCE (Remote Code Execution).

Microsoft potvrzuje chybu zabezpečení uvnitř protokolu SMBv3:

V bezpečnostní poradenství Microsoft včera zveřejnil, že chyba zabezpečení ovlivňuje verze 1903 a 1909 Windows 10 a Windows Server. Společnost však rychle poukázala na to, že chyba ještě nebyla zneužita. Mimochodem, společnost údajně prozradila podrobnosti o chybě zabezpečení označené jako CVE-2020-0796. Společnost přitom nezveřejnila žádné technické podrobnosti. Společnost Microsoft pouze nabídla krátká shrnutí popisující chybu. Zveřejnění stejných, několika společností zabývajících se produkty digitálního zabezpečení, které jsou součástí aktivního programu ochrany společnosti a získají včasný přístup k informacím o chybách, tyto informace zveřejnily.

CVE-2020-0796 - „červitelná“ chyba zabezpečení SMBv3.
Skvělý…
pic.twitter.com/E3uPZkOyQN

úložiště emmc

- MalwareHunterTeam (@malwrhunterteam) 10. března 2020

Je důležité si uvědomit, že bezpečnostní chyba SMBv3 ještě nemá připravenou opravu. Je zřejmé, že společnost Microsoft mohla původně plánovat vydání opravy této chyby zabezpečení, ale nemohla, a poté se nepodařilo aktualizovat průmyslové partnery a dodavatele. To vedlo k zveřejnění bezpečnostní chyby, kterou lze ve volné přírodě stále využívat.

Jak mohou útočníci využít chybu zabezpečení SMBv3?

I když se podrobnosti stále objevují, jsou ovlivněny počítačové systémy se systémem Windows 10 verze 1903, Windows Server v1903 (instalace Server Core), Windows 10 v1909 a Windows Server v1909 (instalace Server Core). Je však docela pravděpodobné, že dřívější iterace operačního systému Windows mohou být také zranitelné.

Kritická chyba v implementaci Microsoft SMBv3 byla zveřejněna za záhadných okolností. https://t.co/8kGcNEpw7R

- Zack Whittaker (@zackwhittaker) 11. března 2020

Vysvětlující základní koncepci a typ zranitelnosti zabezpečení SMBv3 Microsoft poznamenal: „Aby zneužil tuto zranitelnost vůči SMB Serveru, mohl neověřený útočník poslat speciálně vytvořený paket na cílený server SMBv3. Aby mohl zneužít tuto chybu zabezpečení proti klientovi SMB, musel by neověřený útočník nakonfigurovat škodlivý server SMBv3 a přesvědčit uživatele, aby se k němu připojil. “

I když podrobností je zatím málo, odborníci naznačují, že chyba SMBv3 by mohla umožnit vzdáleným útočníkům převzít plnou kontrolu nad zranitelnými systémy. Kromě toho může být také zranitelná chyba zabezpečení. Jinými slovy, útočníci by mohli automatizovat útoky prostřednictvím napadených serverů SMBv3 a zaútočit na více počítačů.

Jak chránit servery Windows OS a SMBv3 před novou chybou zabezpečení?

Společnost Microsoft možná uznala existenci chyby zabezpečení uvnitř protokolu SMBv3. Společnost však nenabídla žádnou opravu, která by ji chránila. Uživatelé mohou zakázat kompresi SMBv3, aby se zabránilo útočníkům zneužití této chyby zabezpečení proti serveru SMB. Jednoduchý příkaz k provedení uvnitř PowerShellu je následující:

Set-ItemProperty - Cesta „HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters“ DisableCompression -Type DWORD -Value 1 -Force

zneuctěn 2 shazovat

Chcete-li vrátit dočasnou ochranu před chybou zabezpečení SMBv3, zadejte následující příkaz:

Set-ItemProperty - Cesta „HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters“ DisableCompression -Type DWORD -Value 0 -Force

Spousta společností NENÍ zranitelná # SMBv3 CVE-2020-0796, stále používají Windows XP / 7 a Server 2003/2008. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO

- CISOwithHoodie (@SecGuru_OTX) 11. března 2020

Je důležité si uvědomit, že metoda není úplná a útočníka pouze zpozdí nebo odradí. Společnost Microsoft doporučuje blokovat port TCP „445“ na branách firewall a klientských počítačích. 'To může pomoci chránit sítě před útoky, které pocházejí mimo podnikový obvod.' Blokování postižených portů na podnikovém obvodu je nejlepší obranou, která vám pomůže vyhnout se internetovým útokům, “doporučil Microsoft.