Microsoft läcker information om olämplig kritisk SMB-sårbarhet i Windows 10 och Windows Server

0 Shares

Färgglada Microsoft-logotyp

Patch Tuesday ska vara den dag Microsoft utfärdar bug-fixing-uppdateringar för Windows och annan programvara, men den här veckan var det lite annorlunda. Förutom de vanliga korrigeringsfilerna avslöjade företaget också av misstag förekomsten av en kritisk sårbarhet i Microsoft Server Message Block 3.1.1 (SMBv3) -protokollet – en som det för närvarande inte finns någon korrigering för.

Det verkar som om Microsoft hade tänkt att utfärda en korrigeringsfil till sårbarheten (CVE-2020-0796) igår och därför hänvisade till den i inledningen för Patch Tuesday-versionen, men ändrade sig sedan – kanske för att korrigeringsfilen inte var klar . Två cybersäkerhetsföretag publicerade också korta detaljer om säkerhetsfelet, och medan Microsoft ännu inte har utfärdat en korrigeringsfil har företaget lämnat information om lösningarna.

Se även:

Sårbarheten påverkar ARM64-, 32- och 64-bitarsversioner av Windows 10-versionerna 1903 och 1909, liksom Windows Server-versionerna 1903 och 1909. Även om fullständiga detaljer om sårbarheten inte har avslöjats, talar FortiGuard Labs om MS.SMB.Server .Compression.Transform.Header.Memory.Corruption som den beskriver som “ett attackförsök att utnyttja en säkerhetsproblem i buffertöverflödet i Microsoft SMB-servrar”.

Cybersäkerhetsföretaget fortsätter med att förklara att: “Sårbarheten beror på ett fel när den sårbara programvaran hanterar ett skadligt utformat komprimerat datapaket. En fjärr, obehörig angripare kan utnyttja detta för att utföra godtycklig kod inom applikationens sammanhang”.

ZDNet noterar att ett annat säkerhetsföretag, Cisco Talos, publicerade information i en blogg som sedan har tagits bort (även om en cachad version fortfarande är tillgänglig). Här beskrivs sårbarheten enligt följande:

CVE-2020-0796 är en sårbarhet för fjärrkörning av kod i Microsoft Server Message Block 3.0 (SMBv3). En angripare kan utnyttja detta fel genom att skicka ett speciellt utformat paket till mål-SMBv3-servern, som offret behöver anslutas till. Användare uppmuntras att inaktivera SMBv3-komprimering och blockera TCP-port 445 på brandväggar och klientdatorer. Utnyttjandet av denna sårbarhet öppnar system för en “avmaskbar” attack, vilket innebär att det skulle vara lätt att flytta från offer till offer.

Microsoft har sedan dess publicerat ett råd om sårbarheten. Företaget föreslår en lösning som innebär att SMBv3-komprimering inaktiveras. Rådgivaren säger:

Microsoft är medveten om en sårbarhet för fjärrkörning av kod på det sätt som Microsoft Server Message Block 3.1.1 (SMBv3) -protokollet hanterar vissa förfrågningar. En angripare som lyckats utnyttja sårbarheten kan få förmågan att köra kod på SMB-servern eller SMB-klienten.

För att utnyttja sårbarheten mot en SMB-server kan en obehörig angripare skicka ett specialtillverkat paket till en riktad SMBv3-server. För att utnyttja sårbarheten mot en SMB-klient måste en obehörig angripare konfigurera en skadlig SMBv3-server och övertyga en användare att ansluta till den.

Det finns två råd för att försöka mildra säkerhetsfelet. Den första är att inaktivera SMBv3-komprimering, även om Microsoft påpekar att även om detta kommer att blockera obehöriga angripare, förhindrar det inte att SMB-klienter utnyttjas. Använd följande PowerShell-kommando för att inaktivera komprimering:

Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force

Microsoft råder också människor att blockera TCP-port 445 vid företagets perimeter-brandvägg.

Mer information finns här.

Bildkredit: Diverse fotografier / Shutterstock

0 Shares