Microsoft повідомляє про наявність невиправленого експлойта, який можна захворіти на серверах Windows 10 SMB

Значок часу читання 2 хв. читати


Читачі допомагають підтримувати MSpoweruser. Ми можемо отримати комісію, якщо ви купуєте через наші посилання. Значок підказки

Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі

Корпорація Майкрософт випадково виявила наявність у протоколі SMBV3 експлойту, який можна захворіти, під час свого інформаційного дампу виправлення вівторок, але не випустила виправлення для того ж недоліку, що залишило всі останні інсталяції вразливими.

Комп’ютери, уражені вразливістю CVE-2020-0796, включають Windows 10 v1903, Windows10 v1909, Windows Server v1903 і Windows Server v1909.

Підозрюється, що Microsoft планувала випустити виправлення цього виправлення у вівторок, але витягнула його в останню хвилину, але все ж включила деталі недоліку в їх Microsoft API, які деякі виробники антивірусів вишукують і згодом публікують. Наразі цей API не працює, і такі постачальники, як Cisco Talos, які опублікували деталі, тепер видалили свої звіти.

SMB — це той самий протокол, що використовувався програмами-вимагателями WannaCry і NotPetya, але, на щастя, цього разу код експлойта не опубліковано.

Повна інформація про недолік не була опублікована, але вважається, що це переповнення буфера на сервері Microsoft SMB, яке виникає «…через помилку, коли вразливе програмне забезпечення обробляє зловмисно створений стиснутий пакет даних». Компанія з безпеки Fortinet зазначає, що «віддалений неавтентифікований зловмисник може використати це для виконання довільного коду в контексті програми».

Виправлення не було випущено, але є деякі пом’якшення.

У своїх неопублікованих порадах Cisco Talos запропонував:

«Користувачам рекомендується вимкнути стиснення SMBv3 та заблокувати TCP-порт 445 на брандмауерах та клієнтських комп’ютерах».

Оновити: Повна консультація тепер можна прочитати в Microsoft тут. Microsoft зазначає, що обхідний шлях, наведений вище, захистить сервер, але не вплине на клієнтів.

Докладніше про проблему на ZDNet тут.

Форум користувачів

0 повідомлення