Microsoft Corrige Falha no SMBv3

Views: 599

Pronto, definido, patch: A Microsoft lançou na quinta-feira uma correção para uma vulnerabilidade de execução de código remoto em versões recentes do Windows 10 e do Windows Server.

A atualização de segurança “fora de banda” segue o lote usual de atualizações mensais de segurança que já foram lançadas na terça-feira. No geral, o “Patch Tuesday” deste mês contou com correções para 115 falhas diferentes.

Mas uma falha adicional – designada crítica, porque poderia ser usada por atacantes remotos para executar código arbitrário em sistemas vulneráveis – veio à tona, aparentemente devido a uma falha de coordenação entre a Microsoft e um ou mais dos parceiros de negócios de segurança com o qual compartilha avisos prévios de falhas que planeja corrigir.

A vulnerabilidade, devido a uma falha no Microsoft Server Message Block 3.1.1 – SMBv3 – protocolo, existe em algumas versões de 32 bits e 64 bits do Windows 10, bem como algumas versões do Windows Server (ver: Alerta do Windows: Falha de SMB_v3 crítica requer solução de trabalho).

The update for this vulnerability is available here: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 … https://twitter.com/msftsecresponse/status/1237515046390882304 …Security Response✔@msftsecresponseMicrosoft is aware of a RCE vulnerability in the way that the SMBv3 protocol handles certain requests. If you wish to be notified when updates for this vulnerability are available, please follow the guidance in the advisory linked here: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005 …14612:40 PM – Mar 12, 2020Twitter Ads info and privacy148 people are talking about this

“Essa vulnerabilidade se aplica ao Windows 10 (versão 1903), Windows 10 (versão 1909), Windows Server (versão 1903) e Windows Server (versão 1909)”, diz a Microsoft. “Embora não tenhamos observado um ataque explorando essa vulnerabilidade, recomendamos que você aplique essa atualização aos dispositivos afetados com prioridade.”

Para eliminar a falha nos clientes, a Microsoft diz que sua atualização, KB4551762,deve ser instalada, mesmo para organizações que já colocaram uma das soluçãos do servidor no lugar que a empresa detalhou no início desta semana.

Qualquer organização que use uma versão vulnerável do Windows 10 ou do Windows Server que tenha atualizações automáticas ativadas receberá automaticamente a correção. Mas para qualquer organização que gerencie manualmente atualizações, a Microsoft diz que deve baixar e instalar as novas atualizações de segurança que ele empurrou quarta-feira.

“Por favor, atualize o mais rápido possível ou use as informações de solução de solução … para proteger suas redes”, tuitou Nate Warfield, membro da Equipe de Pesquisa de Segurança da Microsoft.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 …https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200005 …

We just released a patch for CVE-2020-0796 and it is available via all normal channels.

Please update ASAP or use the workaround information in ADV200005 to protect your networks.42212:04 PM – Mar 12, 2020Twitter Ads info and privacy355 people are talking about this

Servidores vulneráveis abundam

Qual é o risco? Na quinta-feira, a empresa de segurança Kryptos Logic informou contar pelo menos 48.000 hosts vulneráveis do Windows Server que têm a falha e estão conectados à internet.

We’ve just finished our first internet wide scan for CVE-2020-0796 and have identified 48000 vulnerable hosts. We’ll be loading this data into Telltale for CERTs and organisations to action. We’re also working on a blog post with more details (after patch).1008:47 AM – Mar 12, 2020Twitter Ads info and privacy49 people are talking about this

“Less than 4 percent of publicly accessible SMB endpoints potentially have this vulnerability as it relies on specific versions of OS, so I would suggest organizations do not over-react,” says British security expert Kevin Beaumont.

That said, Tal Be’ery, a security researcher at KZen, notes that if exploited, the flaw could be used at least to crash vulnerable systems by triggering the dreaded Windows “blue screen of death.”

Currently no active RCE exploits reported in the wild, but BSOD (DoS) is trivial https://twitter.com/b2ahex/status/1238129644999606274?s=20 …b2ahex@b2ahexTrigger 0796 on smb client. #CVE2020079662:49 PM – Mar 12, 2020Twitter Ads info and privacySee Tal Be’ery’s other Tweets

One piece of good news – besides a patch now being available – is that the bug appears to be tough for hackers to exploit. “According to @zerosum0x0, a person who has analyzed WannaCry in the past, the bug is trivial to find but not so easy to exploit,” Lucas George, a researcher at security firm Synacktiv, says in a blog post.

Not Patching Yet?

Until organizations install the patch, they can mitigate the flaw for servers by using a Microsoft workaround, which involves deactivating SMBv3 compression. But there are no complete workarounds for clients, meaning they remain vulnerable to exploitation until they get patched.

No entanto, para proteger parcialmente os clientes, bloqueie a porta TCP 445, que “é usada para iniciar uma conexão com o componente afetado”, diz a Microsoft. “O bloqueio dessa porta no firewall do perímetro da rede ajudará a proteger os sistemas que estão por trás desse firewall contra tentativas de explorar essa vulnerabilidade. Isso pode ajudar a proteger as redes contra ataques que se originam fora do perímetro corporativo.”

Até que eles remendem, todas as organizações devem garantir que tenham verificado que nenhum de seus sistemas está expondo a porta 445 do TCP à internet, diz o especialista em resposta a incidentes David Stubley, que dirige Edimburgo, empresa de testes de segurança com sede na Escócia e consultoria 7 Elements.

“Embora não tenhamos observado um ataque explorando essa vulnerabilidade, recomendamos que você aplique essa atualização aos dispositivos afetados com prioridade.”

— Microsoft

“Na maioria dos casos, a vulnerabilidade do SMB será limitada às redes internas. No entanto, é fundamental obter a garantia de que você não está expondo o serviço à internet”, diz Stubley ao Information Security Media Group.

Falha de SMBv3: Wormable

Uma preocupação com a falha do SMBv3 é que ele pode ser explorado por invasores para construir um worm que é capaz de saltar diretamente de um sistema infectado para outro dentro de firewalls corporativos. Foi o que aconteceu em maio de 2017 com o WannaCry, que incluiu a capacidade de se mover de sistema para sistema, explorando uma falha de SMBv1 conhecida como EternalBlue, também conhecida como CVE-2017-0144.

A ferramenta de exploração EternalBlue foi construída pela Agência de Segurança Nacional dos EUA, antes de ser obtida pela gangue Shadow Brokers e vazada em abril de 2017. Os governos dos EUA e do Reino Unido culpam a Coreia do Norte por lançar o WannaCry, que aproveitou a EternalBlue para permitir sua capacidade de disseminação semelhante a um verme.

Apesar de um patch ter sido lançado há três anos para corrigir a falha smbv1 visada pela EternalBlue, um número significativo de sistemas Windows ainda permanece vulnerável (ver: Eternally Blue? Scanner encontra eternalblue ainda difundido).

Patch de março terça-feira

O patch smbv3 de emergência segue a Microsoft na terça-feira lançando 115 correções, das quais designou 26 como sendo críticos, 88 como importantes e um como sendo de gravidade moderada.

“Sete dessas vulnerabilidades foram relatadas através do programa ZDI”, diz Dustin Childs, do programa de recompensa de bugs Da Iniciativa Zero Day. Nenhum dos bugs que estão sendo corrigidos está listado como sendo conhecido publicamente ou ataque ativo no momento da liberação. O primeiro trimestre de 2020 certamente tem sido muito movimentado para patches da Microsoft. Incluindo as manchas de hoje, houve 265 manchas no primeiro trimestre. Será interessante ver se esse ritmo continua ao longo do ano.”

O March corrige falhas corretas que existem em vários aspectos do ecossistema Windows. “Das 26 vulnerabilidades críticas, 17 são para navegadores e mecanismos de script, quatro são para Media Foundation, duas são para GDI+ e as outras três são para arquivos LNK, Microsoft Word e Dynamics Business”, diz Animesh Jain, da empresa de segurança Qualys, em um post no blog.

Ela recomenda priorizar a instalação da atualização de segurança do Microsoft Windows deste mês, a atualização de segurança do Internet Explorer, bem como a correção do SMBv3.

O ZDI’s Childs, por sua vez, adverte que o CVE-2020-0852, uma vulnerabilidade crítica de execução de código remoto do Microsoft Word, parece destinado à exploração a curto prazo por invasores porque funciona sem interação do usuário.

“A maioria dos bugs de execução de código nos produtos do Office exige que um usuário abra um arquivo especialmente elaborado e, portanto, são ‘importantes’ na gravidade. Esse bug do Word de classificação crítica não requer essa interação do usuário”, diz ele. “Em vez disso, simplesmente visualizar um arquivo especialmente criado no Painel de visualização pode permitir a execução de código no nível do usuário conectado. Enviar documentos maliciosos é uma tática comum para autores de malware e ransomware. Ter um bug que não exija enganar alguém para abrir um arquivo será atraente para eles.”

FONTE: BANKINFO SECURITY