Logo após o lançamento de seu lote mensal de atualizações de segurança, a Microsoft emitiu ontem, separadamente, um aviso de alerta sobre uma nova vulnerabilidade crítica, sem patches, que afeta o protocolo de comunicação em rede Server Message Block 3.0 (SMBv3).
A falha ainda a ser corrigida (rastreada como CVE-2020-0796), se explorada com êxito, pode permitir que um invasor execute código arbitrário no servidor SMB ou no cliente SMB de destino.
O reconhecimento tardio da Microsoft levou alguns pesquisadores a chamar o bug “SMBGhost”.
“Para explorar a vulnerabilidade contra um servidor SMB, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 de destino”, divulgou a Microsoft em um comunicado. “Para explorar a vulnerabilidade contra um cliente SMB, um invasor não autenticado precisaria configurar um servidor SMBv3 mal-intencionado e convencer um usuário a se conectar a ele”.
O protocolo Server Message Block fornece a base para compartilhamento de arquivos, navegação na rede, serviços de impressão e comunicação entre processos através de uma rede.
Embora não esteja claro quando a Microsoft planeja corrigir a falha, a empresa está pedindo aos usuários que desabilitem a compactação SMBv3 e bloqueiem a porta TCP 445 em firewalls e computadores clientes como uma solução alternativa.
Além disso, a Microsoft alertou que desabilitar a compactação SMBv3 não impedirá a exploração de clientes SMB.
Vale ressaltar que a falha afeta apenas o Windows 10 versão 1903, Windows 10 versão 1909, Windows Server versão 1903 e Windows Server versão 1909.
Mas é possível que mais versões sejam afetadas quando o SMB 3.0 foi introduzido no Windows 8 e Windows Server 2012.
Apesar da gravidade do bug do SMB, não há evidências de que ele esteja sendo explorado.
Mas também é necessário chamar a atenção para o fato de que esse é o único momento em que o SMB foi explorado como um vetor de ataque para tentativas de invasão.
Somente nos últimos anos, algumas das principais infecções por ransomware, incluindo WannaCry e NotPetya, foram consequência de explorações baseadas em SMB.
Por enquanto, até que a Microsoft libere uma atualização de segurança projetada para corrigir a falha do CVE-2020-0796 RCE, é recomendável que os administradores do sistema implementem as soluções alternativas para bloquear ataques que tentam explorar a vulnerabilidade.
Uma descrição do problema foi publicada – e removida posteriormente – em uma postagem no blog Cisco Talos. A empresa disse que “a exploração dessa vulnerabilidade abre os sistemas para um ataque ‘desagradável’, o que significa que seria fácil passar de vítima para vítima”.
Artigo original em inglês podem ser lidos em The Hacker News.
Informações adicionais podem ser obtidas nos sites da Microsoft, CERT e Tenable
FONTE: INDIGO-TI