Microsoft vaza presença de exploração wormable não corrigida em servidores SMB do Windows 10

Ícone de tempo de leitura 2 minutos. ler


Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

A Microsoft revelou acidentalmente a presença de um exploit wormable no protocolo SMBV3 durante o infodump do Patch Tuesday, mas sem lançar um patch para a mesma falha, deixando todas as instalações recentes vulneráveis.

Os computadores afetados da vulnerabilidade CVE-2020-0796 incluem Windows 10 v1903, Windows10 v1909, Windows Server v1903 e Windows Server v1909.

Suspeita-se que a Microsoft estava planejando lançar um patch nesta terça-feira, mas o retirou no último minuto, mas ainda incluiu os detalhes da falha em sua API da Microsoft, que alguns fornecedores de antivírus raspam e publicam posteriormente. Essa API está atualmente inativa e fornecedores como Cisco Talos, que publicaram detalhes, excluíram seus relatórios.

SMB é o mesmo protocolo explorado pelo ransomware WannaCry e NotPetya, mas felizmente nesta ocasião, nenhum código de exploração foi lançado.

Os detalhes completos da falha não foram publicados, mas entende-se que é um estouro de buffer no Microsoft SMB Server que ocorre “…devido a um erro quando o software vulnerável manipula um pacote de dados compactado criado maliciosamente”. A empresa de segurança Fortinet observa que “um invasor remoto não autenticado pode explorar isso para executar código arbitrário no contexto do aplicativo”.

Nenhum patch foi lançado, mas há alguma mitigação disponível.

Em seu conselho não publicado, Cisco Talos sugeriu:

“Os usuários são incentivados a desabilitar a compactação SMBv3 e bloquear a porta TCP 445 em firewalls e computadores cliente.”

Atualizar: A assessoria completa pode agora ser lido na Microsoft aqui. A Microsoft observa que a solução alternativa acima protegerá o servidor, mas não os clientes afetados.

Leia mais sobre o assunto no ZDNet aqui.

Fórum de usuários

Mensagens 0