Microsoft je otkrio prisutnost nezakrpanog exploit-a na Windows 10 SMB poslužiteljima

Microsoft je slučajno otkrio prisutnost crvljivog exploita u protokolu SMBV3 tijekom svog infodump-a zakrpa u utorak, ali bez izdavanja zakrpe za istu grešku, ostavljajući sve nedavne instalacije ranjivim.

Zahvaćena računala ranjivosti CVE-2020-0796 uključuju Windows 10 v1903, Windows10 v1909, Windows Server v1903 i Windows Server v1909.

Sumnja se da je Microsoft planirao izdati zakrpu ove zakrpe u utorak, ali ju je povukao u zadnji tren, ali je ipak uključio pojedinosti o nedostatku u svom Microsoft API-ju, koji neki dobavljači antivirusnih programa skraćuju i naknadno objavljuju. Taj API trenutno ne radi, a dobavljači kao što je Cisco Talos koji su objavili pojedinosti sada su izbrisali svoja izvješća.

SMB je isti protokol koji iskorištavaju ransomware WannaCry i NotPetya, ali ovom prilikom, srećom, nije objavljen nijedan iskorištavajući kod.

Puni detalji greške nisu objavljeni, ali se podrazumijeva da se radi o prekoračenju međuspremnika u Microsoft SMB poslužitelju do kojeg dolazi “...zbog pogreške kada ranjivi softver rukuje zlonamjerno izrađenim komprimiranim paketom podataka.” Sigurnosna tvrtka Fortinet napominje da "udaljeni, neautorizirani napadač to može iskoristiti za izvršavanje proizvoljnog koda unutar konteksta aplikacije."

Zakrpa nije objavljena, ali postoje određena ublažavanja.

U svom neobjavljenom savjetu Cisco Talos je predložio:

"Korisnike se potiče da onemoguće SMBv3 kompresiju i blokiraju TCP port 445 na vatrozidima i klijentskim računalima."

Nadopune: Cijeli savjetodavni može sada pročitajte u Microsoftu ovdje. Microsoft napominje da će gore navedeno rješenje zaštititi poslužitelj, ali neće utjecati na klijente.

Pročitajte više o problemu na ZDNetu ovdje.