В Windows 10 нашли новую уязвимость SMBv3 и патча не ожидается
11.03.20
Во вторник стало известно, что в последних версиях системы Windows обнаружена новая уязвимость. Через неё могут быть выполнены атаки в стиле червей WannaCry и NotPetya, которые в своё время поразили корпоративные сети по всему миру.
Уязвимость располагается в протоколе Server Message Block 3.1.1, который используется для общего доступа к файлам, принтерам и другим ресурсам в локальных сетях и из интернета. Если задействовать эту уязвимость, можно выполнять произвольный код на серверах и компьютерах пользователей.
Описание уязвимости было опубликовано в бюллетене CVE-2020-0796. Она затрагивает версии Windows 10 и Windows Server 2019, при разработке которых Microsoft уделила повышенное внимание защите как раз от таких атак. Патчей пока не существует и сроки появления не называются.
Microsoft говорит, что уязвимые серверы могут быть защищены при отключении сжатия. Это делается без необходимости перезагрузки в PowerShell при помощи команды:
Такой метод не защитит клиентские компьютеры. Microsoft рекомендует заблокировать порт 445.
Бюллетень от фирмы Fortinet, опубликованный и затем удалённый, описывает уязвимость как MS.SMB.Server.Compression.Transform.Header.Memory.Corruption. Уязвимость является результатом переполнения буфера на серверах Microsoft Microsoft SMB. Уязвимость становится следствием ошибки, когда программное обеспечение обрабатывает специально созданный сжатый пакет данных.
Команда безопасности Cisco Talos также опубликовала и потом удалила свой бюллетень. Здесь уязвимость приписывается к категории червей, так что единственный эксплоит способен заразить всю локальную сеть без помощи со стороны администраторов или пользователей.
Реализация Microsoft SMBv3 имеет ряд механизмов для того, чтобы этот протокол на Windows-компьютерах был защищённым. Особенно это стало актуально после атаки EternalBlue с применением вредоносных программ WannaCry и NotPetya, когда задействовали протокол SMBv1.
Непонятно, почему сторонние фирмы убрали опубликованные ими бюллетени. Нужно отметить, что новость стала известна в день релиза вторичных патчей Microsoft.
Некоторые аналитики считают, что опасность на этот раз намного меньше, чем в случае с EternalBlue. В первую очередь потому, что протокол SMBv3 распространён далеко не так широко, как вездесущий SMBv1.
Кроме того, протокол SMB защищён рандомизацией размещения адресного пространства ядра. В результате злоумышленники должны иметь два надёжных эксплоита, один из которых предназначается для переполнения буфера или другой уязвимости с возможностью выполнять код, а другая указывает, где вредоносный код хранится в памяти. Это даёт Microsoft время на выпуск патча. Поскольку теперь уязвимость стала публично известный, пошёл обратный отсчёт времени до её применения.
11.03.20
Во вторник стало известно, что в последних версиях системы Windows обнаружена новая уязвимость. Через неё могут быть выполнены атаки в стиле червей WannaCry и NotPetya, которые в своё время поразили корпоративные сети по всему миру.
Уязвимость располагается в протоколе Server Message Block 3.1.1, который используется для общего доступа к файлам, принтерам и другим ресурсам в локальных сетях и из интернета. Если задействовать эту уязвимость, можно выполнять произвольный код на серверах и компьютерах пользователей.
Описание уязвимости было опубликовано в бюллетене CVE-2020-0796. Она затрагивает версии Windows 10 и Windows Server 2019, при разработке которых Microsoft уделила повышенное внимание защите как раз от таких атак. Патчей пока не существует и сроки появления не называются.
Microsoft говорит, что уязвимые серверы могут быть защищены при отключении сжатия. Это делается без необходимости перезагрузки в PowerShell при помощи команды:
PowerShell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Такой метод не защитит клиентские компьютеры. Microsoft рекомендует заблокировать порт 445.
Бюллетень от фирмы Fortinet, опубликованный и затем удалённый, описывает уязвимость как MS.SMB.Server.Compression.Transform.Header.Memory.Corruption. Уязвимость является результатом переполнения буфера на серверах Microsoft Microsoft SMB. Уязвимость становится следствием ошибки, когда программное обеспечение обрабатывает специально созданный сжатый пакет данных.
Команда безопасности Cisco Talos также опубликовала и потом удалила свой бюллетень. Здесь уязвимость приписывается к категории червей, так что единственный эксплоит способен заразить всю локальную сеть без помощи со стороны администраторов или пользователей.
Реализация Microsoft SMBv3 имеет ряд механизмов для того, чтобы этот протокол на Windows-компьютерах был защищённым. Особенно это стало актуально после атаки EternalBlue с применением вредоносных программ WannaCry и NotPetya, когда задействовали протокол SMBv1.
Непонятно, почему сторонние фирмы убрали опубликованные ими бюллетени. Нужно отметить, что новость стала известна в день релиза вторичных патчей Microsoft.
Некоторые аналитики считают, что опасность на этот раз намного меньше, чем в случае с EternalBlue. В первую очередь потому, что протокол SMBv3 распространён далеко не так широко, как вездесущий SMBv1.
Кроме того, протокол SMB защищён рандомизацией размещения адресного пространства ядра. В результате злоумышленники должны иметь два надёжных эксплоита, один из которых предназначается для переполнения буфера или другой уязвимости с возможностью выполнять код, а другая указывает, где вредоносный код хранится в памяти. Это даёт Microsoft время на выпуск патча. Поскольку теперь уязвимость стала публично известный, пошёл обратный отсчёт времени до её применения.
Последнее редактирование модератором: