CVE-2020-0796: nowa luka w protokole SMB

Microsoft udostępnił już łatę dla nowo wykrytej luki krytycznej w protokole sieciowym.

Aktualizacja: 12 marca 2020 r.
W systemach operacyjnych Windows 10 i Windows Server wykryto nową lukę RCE w bezpieczeństwie, o nazwie CVE-2020-0796, która dotyczy protokołu Microsoft Server Message Block 3.1.1 (SMBv3). Według firmy Microsoft atakujący mogą jej użyć do wykonania dowolnego kodu po stronie serwera SMB na kliencie SMB. W celu zaatakowania serwera osoba postronna może wysłać do niego specjalnie przygotowany pakiet. Jeśli chodzi o klienty, atakujący muszą skonfigurować szkodliwy serwer SMBv3 i nakłonić użytkownika, aby nawiązał z nim połączenie.

Eksperci ds. cyberbezpieczeństwa uważają, że luka ta może zostać użyta do przeprowadzenia ataku przy użyciu robaka podobnego do WannaCry. Microsoft klasyfikuje lukę jako krytyczną, zatem należy jak najszybciej ją zamknąć.

Kto jest zagrożony?

SMB to protokół sieciowy związany z dostępem zdalnym do plików, drukarek i innych zasobów sieciowych. Jest on używany do implementacji funkcji Microsoft Windows Network and File and Printer Sharing. Jeśli w Twojej firmie funkcje te są używane, nie bagatelizuj sytuacji.

Microsoft Server Message Block 3.1.1 to stosunkowo nowy protokół, używany wyłącznie w nowych systemach operacyjnych:

  • Windows 10 Version 1903 dla systemów 32-bitowych,
  • Windows 10 Version 1903 dla systemów ARM64,
  • Windows 10 Version 1903 dla systemów x64,
  • Windows 10 Version 1909 dla systemów 32-bitowych,
  • Windows 10 Version 1909 dla systemów ARM64,
  • Windows 10 Version 1909 dla systemów x64,
  • Windows Server, wersja 1903 (Server Core installation),
  • Windows Server, wersja 1909 (Server Core installation).

Luka ta nie dotyczy systemu Windows 7, 8, 8.1 ani jego starszych wersji. Jednak większość współczesnych komputerów z automatyczną instalacją aktualizacji używa systemu Windows 10, zatem prawdopodobnie podatnych jest wiele z nich — zarówno tych domowych, jak i firmowych.

Czy atakujący wykorzystują lukę CVE-2020-0796?

Jak twierdzi firma Microsoft, luka w bezpieczeństwie o nazwie CVE-2020-0796 nie została jeszcze użyta do ataków — a przynajmniej taki atak nie został jeszcze zarejestrowany. Jednak problem w tym, że nie istnieje jeszcze luka dla CVE-2020-0796. Z drugiej strony informacje o luce pojawiły się w przestrzeni publicznej 10 marca, zatem exploity dla niej mogą pojawić się w każdej chwili (o ile już nie istnieją).

Co należy zrobić?

Aktualizacja z 12 marca 2020 r.: Firma Microsoft udostępniła aktualizację bezpieczeństwa, która eliminuje wspomnianą lukę. Można ją pobrać stąd.

Firma Microsoft zaleca poniższe działania pozwalające zablokować wykorzystanie tej luki.

Dla serwerów SMB:

  • Możesz zablokować wykorzystanie luki poprzez wpisanie w programie PowerShell poniższego polecenia:

Set-ItemProperty -Path „HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

Dla klientów SMB:

  • Podobnie jak w przypadku zagrożenia WannaCry, firma Microsoft sugeruje zablokowanie portu TCP 445 w zaporze sieciowej firmowego obwodu.

Ponadto warto używać niezawodnego rozwiązania zabezpieczającego, na przykład Kaspersky Endpoint Security for Business. Stosuje ono między innymi technologię ochrony przed exploitami, która zabezpiecza punkty końcowe — nawet przed nieznanymi lukami.

Porady