Microsoft rò rỉ sự hiện diện của khai thác sâu chưa được vá trong Máy chủ SMB Windows 10

Microsoft đã vô tình tiết lộ sự hiện diện của một lỗ hổng có thể khai thác sâu trong giao thức SMBV3 trong đợt cập nhật Patch Friday của họ, nhưng không phát hành bản vá cho cùng một lỗ hổng, khiến tất cả các bản cài đặt gần đây dễ bị tấn công.

Các PC bị ảnh hưởng bởi lỗ hổng CVE-2020-0796 bao gồm Windows 10 v1903, Windows10 v1909, Windows Server v1903 và Windows Server v1909.

Người ta nghi ngờ rằng Microsoft đang có kế hoạch phát hành bản vá vào Thứ ba tuần này, nhưng đã kéo nó vào phút cuối, nhưng vẫn bao gồm các chi tiết về lỗ hổng trong Microsoft API của họ, mà một số nhà cung cấp phần mềm chống vi-rút đã sửa chữa và sau đó xuất bản. API đó hiện không hoạt động và các nhà cung cấp như Cisco Talos, người đã công bố thông tin chi tiết hiện đã xóa báo cáo của họ.

SMB là giao thức tương tự như được khai thác bởi mã độc tống tiền WannaCry và NotPetya nhưng rất may trong dịp này, không có mã khai thác nào được phát hành.

Chi tiết đầy đủ về lỗ hổng này chưa được công bố, nhưng nó được hiểu là lỗi tràn bộ đệm trong Microsoft SMB Server xảy ra “… do lỗi khi phần mềm dễ bị tấn công xử lý gói dữ liệu nén được chế tạo độc hại”. Công ty bảo mật Fortinet lưu ý "kẻ tấn công từ xa, không được xác thực có thể khai thác điều này để thực thi mã tùy ý trong ngữ cảnh của ứng dụng."

Không có bản vá nào được phát hành, nhưng có một số biện pháp giảm thiểu có sẵn.

Trong lời khuyên chưa được công bố của họ, Cisco Talos 'đã đề xuất:

“Người dùng được khuyến khích tắt tính năng nén SMBv3 và chặn cổng TCP 445 trên tường lửa và máy khách.”

Cập nhật: Toàn bộ tư vấn có thể bây giờ được đọc tại Microsoft ở đây. Microsoft lưu ý rằng giải pháp ở trên sẽ bảo vệ máy chủ nhưng không bảo vệ máy khách bị ảnh hưởng.

Đọc thêm về vấn đề tại ZDNet tại đây.