Aviso – Revelada falha crítica do Windows SMBv3, “SMBGhost”, não corrigida

Views: 183
0 0
Read Time:2 Minute, 15 Second

Logo após o lançamento de seu lote mensal de atualizações de segurança, a Microsoft emitiu ontem, separadamente, um aviso de alerta sobre uma nova vulnerabilidade crítica, sem patches, que afeta o protocolo de comunicação em rede Server Message Block 3.0 (SMBv3).
A falha ainda a ser corrigida (rastreada como CVE-2020-0796), se explorada com êxito, pode permitir que um invasor execute código arbitrário no servidor SMB ou no cliente SMB de destino.
O reconhecimento tardio da Microsoft levou alguns pesquisadores a chamar o bug “SMBGhost”.

“Para explorar a vulnerabilidade contra um servidor SMB, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 de destino”, divulgou a Microsoft em um comunicado. “Para explorar a vulnerabilidade contra um cliente SMB, um invasor não autenticado precisaria configurar um servidor SMBv3 mal-intencionado e convencer um usuário a se conectar a ele”.
O protocolo Server Message Block fornece a base para compartilhamento de arquivos, navegação na rede, serviços de impressão e comunicação entre processos através de uma rede.

Embora não esteja claro quando a Microsoft planeja corrigir a falha, a empresa está pedindo aos usuários que desabilitem a compactação SMBv3 e bloqueiem a porta TCP 445 em firewalls e computadores clientes como uma solução alternativa.

Além disso, a Microsoft alertou que desabilitar a compactação SMBv3 não impedirá a exploração de clientes SMB.

Vale ressaltar que a falha afeta apenas o Windows 10 versão 1903, Windows 10 versão 1909, Windows Server versão 1903 e Windows Server versão 1909.
Mas é possível que mais versões sejam afetadas quando o SMB 3.0 foi introduzido no Windows 8 e Windows Server 2012.
Apesar da gravidade do bug do SMB, não há evidências de que ele esteja sendo explorado.
Mas também é necessário chamar a atenção para o fato de que esse é o único momento em que o SMB foi explorado como um vetor de ataque para tentativas de invasão.
Somente nos últimos anos, algumas das principais infecções por ransomware, incluindo WannaCry e NotPetya, foram consequência de explorações baseadas em SMB.
Por enquanto, até que a Microsoft libere uma atualização de segurança projetada para corrigir a falha do CVE-2020-0796 RCE, é recomendável que os administradores do sistema implementem as soluções alternativas para bloquear ataques que tentam explorar a vulnerabilidade.

Uma descrição do problema foi publicada – e removida posteriormente – em uma postagem no blog Cisco Talos. A empresa disse que “a exploração dessa vulnerabilidade abre os sistemas para um ataque ‘desagradável’, o que significa que seria fácil passar de vítima para vítima”.

Artigo original em inglês podem ser lidos em The Hacker News.

Informações adicionais podem ser obtidas nos sites da MicrosoftCERT e Tenable

FONTE: INDIGO-TI

Previous post Vulnerabilidade de colaborador é principal porta de entrada de criminosos digitais em empresas
Next post Microsoft e parceiros de 35 países desmontam rede botnet criminosa Necurs

Deixe um comentário