Microsoft vuotaa Windows 10 SMB -palvelimissa olevaa korjaamatonta madotettavaa hyväksikäyttöä
2 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Microsoft on vahingossa paljastanut madotettavan hyödyn SMBV3-protokollassa korjauspäivitystiistai-infodump-julkaisunsa aikana, mutta ei julkaissut korjaustiedostoa samaan virheeseen, jolloin kaikki viimeaikaiset asennukset ovat haavoittuvia.
CVE-2020-0796-haavoittuvuuden kohteena olevia tietokoneita ovat Windows 10 v1903, Windows10 v1909, Windows Server v1903 ja Windows Server v1909.
Epäillään, että Microsoft aikoi julkaista korjaustiedoston tänä korjaustiistaina, mutta veti sen viime hetkellä, mutta sisälsi silti yksityiskohdat Microsoft API:n puutteesta, jonka jotkut virustentorjuntatoimittajat kaavisivat ja julkaisevat myöhemmin. Tämä API on tällä hetkellä poissa käytöstä, ja toimittajat, kuten Cisco Talos, jotka julkaisivat tietoja, ovat nyt poistaneet raportit.
SMB on sama protokolla, jota WannaCry ja NotPetya ransomware käyttävät hyväkseen, mutta onneksi tässä yhteydessä ei ole julkaistu hyväksikäyttökoodia.
Täydellisiä tietoja virheestä ei ole julkaistu, mutta sen uskotaan olevan Microsoft SMB Serverin puskurin ylivuoto, joka ilmenee "...virheestä, kun haavoittuva ohjelmisto käsittelee haitallisesti muodostettua pakattua datapakettia." Tietoturvayhtiö Fortinet huomauttaa, että "todistamaton etähyökkääjä voi käyttää tätä hyväksi mielivaltaisen koodin suorittamiseen sovelluksen yhteydessä".
Korjausta ei ole julkaistu, mutta lievennyksiä on saatavilla.
Julkaisemattomissa neuvoissaan Cisco Talos ehdotti:
"Käyttäjiä kehotetaan poistamaan SMBv3-pakkaus käytöstä ja estämään TCP-portti 445 palomuureissa ja asiakastietokoneissa."
Päivitykset: Täysi neuvonta voi lue nyt Microsoftissa täältä. Microsoft huomauttaa, että yllä oleva kiertotapa suojaa palvelinta, mutta ei asiakkaita, joihin se vaikuttaa.
Lue lisää aiheesta täällä ZDNetissä.
Käyttäjäfoorumi
0-viestit