Microsoft ger lindringsråd för kritisk sårbarhet i SMBv3-protokollet

0 Shares

Efter att ha oavsiktligt avslöjat detaljer om en opatchad säkerhetsfel publicerade Microsoft en rådgivning som ger information om en nyligen upptäckt sårbarhet i SMBv3-protokollet (Server Message Block). Angripare som utnyttjar problemet framgångsrikt “får förmågan att köra kod på SMB-servern eller SMB-klienten” enligt Microsofts avslöjande.

Attacker mot SMB-servrar använder ett speciellt utformat paket som skickas till målet. Attacker mot SMB-klienter är mer komplicerade eftersom det krävs att konfigurera en skadlig SMBv3-server och få användare att ansluta till den.

För att utnyttja sårbarheten mot en SMB-server kan en obehörig angripare skicka ett specialtillverkat paket till en riktad SMBv3-server. För att utnyttja sårbarheten mot en SMB-klient måste en obehörig angripare konfigurera en skadlig SMBv3-server och övertyga en användare att ansluta till den.

Alla senaste versioner av Windows 10 och Windows Server påverkas av sårbarheten som Microsoft betraktar som kritisk, den högsta svårighetsgraden:

Windows 10 version 1903 32-bitars och 64-bitars och ARM. Windows 10 version 1909 32-bitars och 64-bitars och ARM. Windows Server version 1903. Windows Server version 1909.

Sårbarheten ligger i komprimeringsfunktionen hos SMBv3. Microsoft föreslår att organisationer inaktiverar komprimering på servrar för att skydda dessa mot attacker. Lösningen skyddar inte SMB-klienter från att attackeras eftersom attacker mot klienter kräver en skadlig server och klienter som ansluter till den servern.

Systemadministratörer kan köra följande PowerShell-kommando för att inaktivera komprimering på SMBv3-servrar. Observera att kommandot måste köras från en förhöjd PowerShell-fråga.

Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force

Ändringen kan ångras genom att köra följande kommando från en upphöjd PowerShell-fråga:

Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 0 -Force

Microsoft noterar att en omstart inte krävs för att göra ändringen.

Systemadministratörer kan också blockera TCP-port 445 vid brandväggen i Enterprise-omkretsen eftersom den används för att “initiera en anslutning med den berörda komponenten”.

Att blockera den här porten vid brandväggen i nätverkets omkrets hjälper till att skydda system som ligger bakom den brandväggen från försök att utnyttja denna sårbarhet. Detta kan hjälpa till att skydda nätverk från attacker som har sitt ursprung utanför företagets perimeter. Att blockera de drabbade portarna vid företagets omkrets är det bästa försvaret för att undvika internetbaserade attacker

System förblir emellertid utsatta för attacker “inifrån företagets perimeter”.

Fotokredit: bahri altay / Shutterstock

0 Shares