Windows 10
As últimas edições do Windows 10, ou seja, v1903 e v1909, contêm uma vulnerabilidade de segurança explorável que pode ser usada para explorar o protocolo Server Message Block (SMB). Os servidores e clientes SMBv3 podem ser comprometidos com êxito e usados para executar código arbitrário. O que é ainda mais preocupante é o fato de que a vulnerabilidade de segurança pode ser explorada remotamente usando alguns métodos simples.
A Microsoft reconheceu uma nova vulnerabilidade de segurança no protocolo Microsoft Server Message Block 3.1.1 (SMB). A empresa parece ter vazado anteriormente os detalhes acidentalmente durante as atualizações da Patch Tuesday desta semana. o vulnerabilidade pode ser explorada remotamente para executar código em um servidor ou cliente SMB. Essencialmente, este é um bug RCE (Remote Code Execution) preocupante.
Microsoft confirma vulnerabilidade de segurança dentro do SMBv3:
Em um aviso de segurança publicado ontem, a Microsoft explicou que a vulnerabilidade afeta as versões 1903 e 1909 do Windows 10 e Windows Server. No entanto, a empresa foi rápida em apontar que a falha ainda não foi explorada. Incidentalmente, a empresa vazou os detalhes sobre a vulnerabilidade de segurança marcada como CVE-2020-0796. Mas, ao fazer isso, a empresa não publicou nenhum detalhe técnico. A Microsoft apenas ofereceu pequenos resumos descrevendo o bug. Pegando no mesmo, várias empresas de produtos de segurança digital que fazem parte do Programa de Proteção Ativa da empresa e obtêm acesso antecipado a informações de bug, publicou as informações.
CVE-2020-0796 - uma vulnerabilidade SMBv3 'wormable'.
Ótimo…
pic.twitter.com/E3uPZkOyQN
- MalwareHunterTeam (@malwrhunterteam) 10 de março de 2020
É importante observar que o bug de segurança SMBv3 ainda não tem um patch pronto. É evidente que a Microsoft pode ter planejado inicialmente o lançamento de um patch para esta vulnerabilidade, mas não pôde, e falhou em atualizar os parceiros e fornecedores da indústria. Isso levou à publicação da vulnerabilidade de segurança que ainda pode ser explorada em estado selvagem.
Como os invasores podem explorar a vulnerabilidade de segurança do SMBv3?
Embora os detalhes ainda estejam surgindo, os sistemas de computador que executam o Windows 10 versão 1903, Windows Server v1903 (instalação Server Core), Windows 10 v1909 e Windows Server v1909 (instalação Server Core) são afetados. No entanto, é bastante provável que as iterações anteriores do sistema operacional Windows também possam ser vulneráveis.
Um bug crítico na implementação do SMBv3 da Microsoft foi publicado em circunstâncias misteriosas. https://t.co/8kGcNEpw7R
- Zack Whittaker (@zackwhittaker) 11 de março de 2020
Explicando o conceito básico e o tipo da vulnerabilidade de segurança SMBv3, a Microsoft observou: “Para explorar a vulnerabilidade contra um servidor SMB, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 direcionado. Para explorar a vulnerabilidade contra um cliente SMB, um invasor não autenticado precisaria configurar um servidor SMBv3 malicioso e convencer um usuário a se conectar a ele. ”
Embora os detalhes sejam um pouco escassos, os especialistas indicam que o bug SMBv3 pode permitir que invasores remotos assumam o controle total dos sistemas vulneráveis. Além disso, a vulnerabilidade de segurança também pode ser modificada. Em outras palavras, os invasores podem automatizar ataques por meio de servidores SMBv3 comprometidos e atacar várias máquinas.
Como proteger o sistema operacional Windows e os servidores SMBv3 contra novas vulnerabilidades de segurança?
A Microsoft pode ter reconhecido a existência de uma vulnerabilidade de segurança dentro do SMBv3. No entanto, a empresa não ofereceu nenhum patch para proteger o mesmo. Os usuários podem desative a compactação SMBv3 para prevenir invasores de explorar a vulnerabilidade contra um servidor SMB. O comando simples para executar dentro do PowerShell é o seguinte:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force
Para desfazer a proteção temporária contra a vulnerabilidade de segurança SMBv3, digite o seguinte comando:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 0 -Force
Muitas empresas NÃO são vulneráveis a # SMBv3 CVE-2020-0796, eles ainda estão executando o Windows XP / 7 e o Server 2003/2008. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- CISOwithHoodie (@SecGuru_OTX) 11 de março de 2020
É importante observar que o método não é abrangente e apenas atrasará ou dissuadirá um invasor. A Microsoft recomenda bloquear a porta TCP '445' em firewalls e computadores cliente. “Isso pode ajudar a proteger as redes de ataques originados fora do perímetro da empresa. Bloquear as portas afetadas no perímetro da empresa é a melhor defesa para ajudar a evitar ataques baseados na Internet ”, aconselhou a Microsoft.
Tag janelas windows 10