Pouco depois de lançar seu lote mensal de atualizações de segurança , a Microsoft emitiu ontem, separadamente, um aviso de alerta aos bilhões de usuários do Windows sobre uma nova vulnerabilidade crítica, sem patches e desagradável que afeta o protocolo de comunicação em rede Server Message Block 3.0 ( SMBv3 ).
Parece que a Microsoft originalmente planejava consertar a falha apenas como parte da atualização de terça-feira de março de 2020, mas, por algum motivo, ele desligou o computador no último minuto, o que aparentemente não impediu uma empresa de tecnologia de vazar acidentalmente a existência do falha não corrigida.
A falha ainda a ser corrigida (rastreada como CVE-2020-0796 ), se explorada com êxito, poderia permitir que um invasorexecute código arbitrário no servidor SMB de destino ou no cliente SMB.
O reconhecimento tardio da Microsoft levou alguns pesquisadores a chamar o bug " SMBGhost ".
Parece que a Microsoft originalmente planejava consertar a falha apenas como parte da atualização de terça-feira de março de 2020, mas, por algum motivo, ele desligou o computador no último minuto, o que aparentemente não impediu uma empresa de tecnologia de vazar acidentalmente a existência do falha não corrigida.
A falha ainda a ser corrigida (rastreada como CVE-2020-0796 ), se explorada com êxito, poderia permitir que um invasorexecute código arbitrário no servidor SMB de destino ou no cliente SMB.
O reconhecimento tardio da Microsoft levou alguns pesquisadores a chamar o bug " SMBGhost ".
"Para explorar a vulnerabilidade contra um servidor SMB, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 de destino", divulgou a Microsoft em um comunicado. "Para explorar a vulnerabilidade contra um cliente SMB, um invasor não autenticado precisaria configurar um servidor SMBv3 mal-intencionado e convencer um usuário a se conectar a ele".
O protocolo Server Message Block fornece a base para compartilhamento de arquivos, navegação na rede, serviços de impressão e comunicação entre processos através de uma rede.
De acordo com um post do Cisco Talos, agora removido, a falha abre os sistemas vulneráveis a um ataque "desagradável", facilitando a propagação de uma vítima para a outra.
Embora não esteja claro quando a Microsoft planeja corrigir a falha, a empresa está pedindo aos usuários que desabilitem a compactação SMBv3 e bloqueiem a porta TCP 445 em firewalls e computadores clientes como uma solução alternativa.
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" DisableCompression -Type DWORD -Value 1 -Force
Além disso, a Microsoft alertou que a desativação da compactação SMBv3 não impedirá a exploração de clientes SMB.
Embora não esteja claro quando a Microsoft planeja corrigir a falha, a empresa está pedindo aos usuários que desabilitem a compactação SMBv3 e bloqueiem a porta TCP 445 em firewalls e computadores clientes como uma solução alternativa.
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" DisableCompression -Type DWORD -Value 1 -Force
Além disso, a Microsoft alertou que a desativação da compactação SMBv3 não impedirá a exploração de clientes SMB.
Vale ressaltar que a falha afeta apenas o Windows 10 versão 1903, Windows 10 versão 1909, Windows Server versão 1903 e Windows Server versão 1909. Mas é possível que mais versões sejam afetadas quando o SMB 3.0 foi introduzido no Windows 8 e Windows Server 2012.
Apesar da gravidade do bug do SMB, não há evidências de que ele esteja sendo explorado na natureza. Mas também é necessário chamar a atenção para o fato de que esse é o único momento em que o SMB foi explorado como um vetor de ataque para tentativas de invasão.
Somente nos últimos anos, algumas das principais infecções por ransomware, incluindo WannaCry e NotPetya , foram consequência de explorações baseadas em SMB.
Por enquanto, até que a Microsoft libere uma atualização de segurança projetada para corrigir a falha do CVE-2020-0796 RCE, é recomendável que os administradores do sistema implementem as soluções alternativas para bloquear ataques que tentam explorar a vulnerabilidade.
