Windows 10
Последние выпуски Windows 10, а именно v1903 и v1909, содержат уязвимость системы безопасности, которую можно использовать для использования протокола Server Message Block (SMB). Серверы и клиенты SMBv3 могут быть успешно взломаны и использованы для запуска произвольного кода. Что еще более беспокоит, так это то, что уязвимость системы безопасности можно использовать удаленно, используя несколько простых методов.
Microsoft признала новую уязвимость системы безопасности в протоколе Microsoft Server Message Block 3.1.1 (SMB). Похоже, что компания ранее сообщала подробности случайно во время обновлений во вторник на этой неделе. В уязвимость можно эксплуатировать удаленно для выполнения кода на SMB-сервере или клиенте. По сути, это ошибка RCE (удаленное выполнение кода).
Microsoft подтверждает уязвимость системы безопасности внутри SMBv3:
В совет по безопасности опубликованное вчера, Microsoft объяснила, что уязвимость затрагивает версии 1903 и 1909 Windows 10 и Windows Server. Однако компания поспешила указать, что недостаток еще не использовался. Между прочим, компания, как сообщается, утекла в подробности об уязвимости системы безопасности с меткой CVE-2020-0796. Но при этом никаких технических подробностей компания не опубликовала. Microsoft просто предложила краткое описание ошибки. Обратившись к одним и тем же компаниям, выпускающим продукты для цифровой безопасности, которые участвуют в программе Active Protections и получают ранний доступ к информации об ошибках, они опубликовали эту информацию.
CVE-2020-0796 - уязвимость SMBv3, поддающаяся червю.
Большой…
pic.twitter.com/E3uPZkOyQN
- MalwareHunterTeam (@malwrhunterteam) 10 марта 2020 г.
Важно отметить, что исправление ошибки безопасности SMBv3 еще не готово. Очевидно, что Microsoft изначально планировала выпустить исправление для этой уязвимости, но не смогла, а затем не смогла обновить отраслевых партнеров и поставщиков. Это привело к публикации уязвимости системы безопасности, которая все еще может использоваться в дикой природе.
Как злоумышленники могут воспользоваться уязвимостью безопасности SMBv3?
Хотя подробности все еще появляются, это касается компьютерных систем под управлением Windows 10 версии 1903, Windows Server v1903 (установка Server Core), Windows 10 v1909 и Windows Server v1909 (установка Server Core). Однако весьма вероятно, что более ранние версии ОС Windows также могут быть уязвимы.
Критическая ошибка в реализации SMBv3 от Microsoft была опубликована при загадочных обстоятельствах. https://t.co/8kGcNEpw7R
- Зак Уиттакер (@zackwhittaker) 11 марта 2020 г.
Объясняя основную концепцию и тип уязвимости безопасности SMBv3, Microsoft отметила: «Чтобы использовать уязвимость на сервере SMB, злоумышленник, не прошедший проверку подлинности, может отправить специально созданный пакет на целевой сервер SMBv3. Чтобы воспользоваться уязвимостью клиента SMB, злоумышленнику, не прошедшему проверку подлинности, потребуется настроить вредоносный сервер SMBv3 и убедить пользователя подключиться к нему ».
Хотя подробностей немного, но эксперты указывают, что ошибка SMBv3 может позволить удаленным злоумышленникам получить полный контроль над уязвимыми системами. Более того, уязвимость системы безопасности также может быть заражена червем. Другими словами, злоумышленники могут автоматизировать атаки через взломанные серверы SMBv3 и атаковать несколько машин.
Как защитить ОС Windows и серверы SMBv3 от новой уязвимости?
Microsoft могла признать наличие уязвимости в системе безопасности SMBv3. Однако компания не предложила никаких патчей для защиты. Пользователи могут отключить сжатие SMBv3 для предотвращения атак злоумышленников от эксплуатации уязвимости на сервере SMB. Простая команда для выполнения внутри PowerShell выглядит следующим образом:
Set-ItemProperty -Path «HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters» DisableCompression -Type DWORD -Value 1 -Force
Чтобы отменить временную защиту от уязвимости безопасности SMBv3, введите следующую команду:
Set-ItemProperty -Path «HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters» DisableCompression -Type DWORD -Value 0 -Force
Многие компании НЕ уязвимы для # SMBv3 CVE-2020-0796, они все еще работают под управлением Windows XP / 7 и Server 2003/2008. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- CISOwithHoodie (@SecGuru_OTX) 11 марта 2020 г.
Важно отметить, что этот метод не является исчерпывающим и просто задержит или отговорит злоумышленника. Microsoft рекомендует блокировать TCP-порт «445» на брандмауэрах и клиентских компьютерах. «Это может помочь защитить сети от атак, исходящих за пределами периметра предприятия. Блокирование затронутых портов на периметре предприятия - лучшая защита от атак через Интернет », - сообщил Microsoft.
Теги Windows окна 10
