Microsoft Windows 10 Senaste versionerna innehåller säkerhetsproblem med SMBv3-server och klient RCE, här finns tillfälliga skydd

De senaste versionerna av Windows 10, nämligen v1903 och v1909, innehåller en exploaterbar säkerhetsproblem som kan användas för att utnyttja SMB-protokollet (Server Message Block). SMBv3-servrar och klienter kan komprometteras med framgång och användas för att köra godtycklig kod. Vad som är ännu mer angeläget är att säkerhetsproblemen kan utnyttjas på distans med några enkla metoder.

Microsoft har erkänt en ny säkerhetsproblem i Microsoft Server Message Block 3.1.1 (SMB) -protokollet. Företaget verkar ha läckt ut detaljerna av misstag under veckans uppdateringar om Patch Tuesday. De sårbarhet kan utnyttjas på distans för att köra kod på en SMB-server eller klient. I grund och botten är detta ett RCE-fel (Remote Code Execution).

Microsoft bekräftar säkerhetsproblem i SMBv3:

I en säkerhetsrådgivning som publicerades i går förklarade Microsoft att sårbarheten påverkar versionerna 1903 och 1909 av Windows 10 och Windows Server. Företaget var dock snabbt med att påpeka att felet ännu inte har utnyttjats. För övrigt läcker företaget enligt uppgift detaljerna om säkerhetssårbarheten märkt som CVE-2020-0796. Men samtidigt som företaget publicerade inga tekniska detaljer. Microsoft erbjöd bara korta sammanfattningar som beskriver felet. Plocka upp på samma, flera digitala säkerhetsproduktföretag som ingår i företagets Active Protections Program och får tidig tillgång till information om fel, publicerade informationen.

Det är viktigt att notera att SMBv3-säkerhetsfelet inte har en patch klar ännu. Det är uppenbart att Microsoft ursprungligen kan ha planerat att släppa en korrigeringsfil för denna sårbarhet men inte kunde, och misslyckades sedan med att uppdatera branschpartner och leverantörer. Detta ledde till publiceringen av säkerhetsproblemet som fortfarande kan utnyttjas i naturen.

Hur kan angripare utnyttja säkerhetsproblemet i SMBv3?

Medan detaljer fortfarande framträder påverkas datorsystem som kör Windows 10 version 1903, Windows Server v1903 (Server Core installation), Windows 10 v1909 och Windows Server v1909 (Server Core installation). Det är dock ganska troligt att tidigare iterationer av Windows OS också kan vara sårbara.

Förklarar det grundläggande konceptet och typen av säkerhetsproblemet i SMBv3, noterade Microsoft: ”För att utnyttja sårbarheten mot en SMB-server kan en obehörig angripare skicka ett speciellt utformat paket till en riktad SMBv3-server. För att utnyttja sårbarheten mot en SMB-klient, måste en obehörig angripare konfigurera en skadlig SMBv3-server och övertyga en användare att ansluta till den. ”

Medan detaljerna är lite knappa att komma med, indikerar experter att SMBv3-buggen kan tillåta fjärranfallare att ta full kontroll över de utsatta systemen. Dessutom kan säkerhetssårbarheten också vara avmaskbar. Med andra ord kan angripare automatisera attacker via komprometterade SMBv3-servrar och attackera flera maskiner.

Hur skyddar jag Windows OS och SMBv3-servrar från ny säkerhetsproblem?

Microsoft kan ha erkänt förekomsten av en säkerhetsproblem i SMBv3. Företaget har dock inte erbjudit någon patch för att skydda densamma. Användare kan inaktivera SMBv3-komprimering för att förhindra att angripare utnyttjar sårbarheten mot en SMB-server. Det enkla kommandot att köra inuti PowerShell är som följer:

För att ångra det tillfälliga skyddet mot SMBv3-säkerhetsproblem, skriv in följande kommando:

Det är viktigt att notera att metoden inte är heltäckande och bara kommer att försena eller avskräcka en angripare. Microsoft rekommenderar att blockera TCP-port '445' på brandväggar och klientdatorer. ”Detta kan hjälpa till att skydda nätverk från attacker som har sitt ursprung utanför företagets perimeter. Att blockera de drabbade portarna vid företagets omkrets är det bästa försvaret för att undvika Internetbaserade attacker, ”rekommenderade Microsoft.

Facebook Twitter Google Plus Pinterest