Windows 10
A Windows 10 legújabb kiadásai, nevezetesen a v1903 és a v1909, egy kihasználható biztonsági rést tartalmaznak, amely felhasználható a Server Message Block (SMB) protokoll kihasználására. Az SMBv3 szerverek és kliensek sikeresen kompromittálhatók és tetszőleges kód futtatására használhatók. Ami még aggasztóbb, hogy a biztonsági rés távolról kihasználható néhány egyszerű módszerrel.
A Microsoft új biztonsági rést ismert el a Microsoft Server Message Block 3.1.1 (SMB) protokollban. Úgy tűnik, hogy a cég korábban véletlenül szivárogtatta ki a részleteket az e heti patch keddi frissítések során. A a sebezhetőség távolról is kihasználható kód végrehajtásához SMB szerveren vagy kliensen. Lényegében ez egy RCE (távoli kódfuttatás) hiba.
A Microsoft megerősíti az SMBv3 biztonsági rését:
A biztonsági tanácsadás Tegnap megjelent Microsoft elmagyarázta, hogy a biztonsági rés a Windows 10 és a Windows Server 1903-as és 1909-es verzióját érinti. A vállalat azonban gyorsan rámutatott, hogy a hibát még nem használták ki. Egyébként a cég állítólag kiszivárogtatta a CVE-2020-0796 címkével ellátott biztonsági rés részleteit. De ennek során a társaság nem tett közzé semmilyen technikai részletet. A Microsoft csupán rövid összefoglalókat kínált a hibáról. Azonos, több digitális biztonsági termékkel foglalkozó vállalat felvétele, amelyek a vállalat Aktív Védelmi Programjának részei és korai hozzáférést kapnak a hibainformációkhoz, közzétette az információt.
CVE-2020-0796 - „féregezhető” SMBv3 biztonsági rés.
Nagy…
pic.twitter.com/E3uPZkOyQN
- MalwareHunterTeam (@malwrhunterteam) 2020. március 10
Fontos megjegyezni, hogy az SMBv3 biztonsági hibának még nincs javítása készen. Nyilvánvaló, hogy a Microsoft eredetileg azt tervezte, hogy kiad egy javítást ennek a biztonsági résnek, de nem tudta, majd nem tudta frissíteni az ipari partnereket és szállítókat. Ennek eredményeként megjelent a biztonsági rés, amelyet még mindig ki lehet aknázni a vadonban.
Hogyan használhatják a támadók az SMBv3 biztonsági rést?
Míg a részletek még mindig kiderülnek, a Windows 10 1903-as, a Windows Server v1903 (Server Core telepítés), a Windows 10 v1909 és a Windows Server v1909 (Server Core telepítés) futtató számítógépes rendszereket érinti. Nagyon valószínű, hogy a Windows operációs rendszer korábbi iterációi is sérülékenyek lehetnek.
Titokzatos körülmények között egy kritikus hibát tettek közzé a Microsoft SMBv3 megvalósításában. https://t.co/8kGcNEpw7R
- Zack Whittaker (@zackwhittaker) 2020. március 11
Az SMBv3 biztonsági rés alapfogalmát és típusát ismertetve a Microsoft megjegyezte: „A biztonsági rés kihasználása érdekében az SMB kiszolgálóval egy nem hitelesített támadó speciálisan kialakított csomagot küldhet egy megcélzott SMBv3 szerverre. A biztonsági rés SMB-ügyfél elleni kihasználásához egy hitelesítetlen támadónak konfigurálnia kell egy rosszindulatú SMBv3-kiszolgálót, és meg kell győznie a felhasználót, hogy csatlakozzon hozzá. '
Noha a részletek egyelőre kevések, a szakértők szerint az SMBv3 hiba lehetővé teheti a távoli támadók számára, hogy teljes mértékben átvegyék az irányítást a sebezhető rendszerek felett. Ezenkívül a biztonsági rés féreghajtó is lehet. Más szavakkal, a támadók automatizálhatják a támadásokat a megsértett SMBv3 szervereken keresztül, és több gépet is megtámadhatnak.
Hogyan lehet megvédeni a Windows operációs rendszert és az SMBv3 szervereket az új biztonsági réstől?
Lehet, hogy a Microsoft elismerte az SMBv3-on belüli biztonsági rés meglétét. A vállalat azonban nem ajánlott javítást ugyanezek védelmére. A felhasználók megtehetik tiltsa le az SMBv3 tömörítést a támadók megakadályozása érdekében a sebezhetőség SMB kiszolgálóval történő kihasználásától. A PowerShell belsejében végrehajtandó egyszerű parancs a következő:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force
Az SMBv3 biztonsági rés elleni ideiglenes védelem visszavonásához írja be a következő parancsot:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 0 -Force
Sok vállalat NEM sérülékeny # SMBv3 CVE-2020-0796, még mindig Windows XP / 7 és Server 2003/2008 rendszert futtatnak. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- CISOwithHoodie (@SecGuru_OTX) 2020. március 11
Fontos megjegyezni, hogy a módszer nem teljes körű, csupán késlelteti vagy lebeszéli a támadót. A Microsoft azt javasolja, hogy blokkolja a „445” TCP portot a tűzfalakon és az ügyfélszámítógépeken. „Ez segíthet megvédeni a hálózatokat a vállalati körzeten kívüli támadásoktól. Az érintett portok blokkolása a vállalati körzetben a legjobb védelem az internetes támadások elkerülése érdekében ”- tanácsolta a Microsoft.
Címkék ablakok Windows 10