Microsoft lekt aanwezigheid van niet-gepatchte wormable exploit in Windows 10 SMB-servers
2 minuut. lezen
Uitgegeven op
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
Microsoft heeft per ongeluk de aanwezigheid van een wormable exploit in het SMBV3-protocol onthuld tijdens hun Patch Tuesday-infodump, maar zonder een patch voor dezelfde fout vrij te geven, waardoor alle recente installaties kwetsbaar zijn.
Getroffen pc's met de kwetsbaarheid CVE-2020-0796 zijn onder meer Windows 10 v1903, Windows10 v1909, Windows Server v1903 en Windows Server v1909.
Er wordt vermoed dat Microsoft van plan was om deze patch dinsdag een patch uit te brengen, maar deze op het laatste moment heeft ingetrokken, maar toch de details van de fout in hun Microsoft API heeft opgenomen, die sommige antivirusleveranciers schrapen en vervolgens publiceren. Die API is momenteel niet beschikbaar en leveranciers zoals Cisco Talos die details hebben gepubliceerd, hebben hun rapporten nu verwijderd.
SMB is hetzelfde protocol dat wordt gebruikt door de WannaCry- en NotPetya-ransomware, maar gelukkig is er bij deze gelegenheid geen exploitcode vrijgegeven.
Volledige details van de fout zijn niet gepubliceerd, maar er wordt aangenomen dat het een bufferoverloop is in de Microsoft SMB-server die optreedt "... als gevolg van een fout wanneer de kwetsbare software een kwaadwillig vervaardigd gecomprimeerd gegevenspakket afhandelt." Beveiligingsbedrijf Fortinet merkt op: "een externe, niet-geverifieerde aanvaller kan dit misbruiken om willekeurige code uit te voeren binnen de context van de applicatie."
Er is geen patch uitgebracht, maar er is enige beperking beschikbaar.
In hun niet-gepubliceerde advies suggereerde Cisco Talos:
"Gebruikers worden aangemoedigd om SMBv3-compressie uit te schakelen en TCP-poort 445 op firewalls en clientcomputers te blokkeren."
bijwerken: Het volledige advies kan nu te lezen bij Microsoft hier. Microsoft merkt op dat de bovenstaande tijdelijke oplossing de server zal beschermen, maar niet de getroffen clients.
Lees meer over het probleem bij ZDNet hier.
Gebruikersforum
0 berichten