Microsoft dezvăluie prezența exploatării wormable nepatchate în serverele SMB Windows 10

Pictograma timp de citire 2 min. citit


Cititorii ajută la sprijinirea MSpoweruser. Este posibil să primim un comision dacă cumpărați prin link-urile noastre. Pictograma Tooltip

Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Afla mai multe

Microsoft a dezvăluit din greșeală prezența unui exploit wormable în protocolul SMBV3 în timpul depozitului de informații Patch Tuesday, dar fără a lansa un patch pentru același defect, lăsând toate instalările recente vulnerabile.

PC-urile afectate de vulnerabilitatea CVE-2020-0796 includ Windows 10 v1903, Windows10 v1909, Windows Server v1903 și Windows Server v1909.

Se bănuiește că Microsoft plănuia să lanseze un patch în acest Patch marți, dar l-a retras în ultimul moment, dar a inclus în continuare detaliile defectului în API-ul lor Microsoft, pe care unii furnizori de antivirus îl răzuiesc și îl publică ulterior. Acea API este în prezent oprită, iar furnizori precum Cisco Talos, care au publicat detalii, și-au șters acum rapoartele.

SMB este același protocol ca cel exploatat de ransomware-ul WannaCry și NotPetya, dar, din fericire, cu această ocazie, nu a fost lansat niciun cod de exploatare.

Detaliile complete ale defecțiunii nu au fost publicate, dar se înțelege că este o depășire a memoriei tampon în serverul Microsoft SMB care apare „...din cauza unei erori atunci când software-ul vulnerabil gestionează un pachet de date comprimate creat în mod rău intenționat”. Compania de securitate Fortinet notează că „un atacator la distanță, neautentificat, poate exploata acest lucru pentru a executa cod arbitrar în contextul aplicației”.

Nu a fost lansat niciun patch, dar există unele măsuri de atenuare disponibile.

În sfaturile lor nepublicate, Cisco Talos a sugerat:

„Utilizatorii sunt încurajați să dezactiveze compresia SMBv3 și să blocheze portul TCP 445 pe firewall-uri și computere client.”

Actualizează: Consultantul complet poate acum fi citit la Microsoft aici. Microsoft observă că soluția de mai sus va proteja serverul, dar nu va proteja clienții afectați.

Citiți mai multe despre problemă la ZDNet aici.

Forumul utilizatorilor

0 mesaje