Falha do SMBGhost da Microsoft ainda assombra 108K sistemas windows

Views: 132
0 0
Read Time:2 Minute, 40 Second

Enquanto a Microsoft corrigiu o bug conhecido como CVE-2020-0796 em março, mais de um sistema Windows de 100.000 ainda estão vulneráveis.

Mais de 100.000 sistemas Windows ainda não foram atualizados para proteger contra uma falha previamente corrigida, crítica e wormable no Windows chamada SMBGhost.

A Microsoft corrigiu o bug de falha de execução de código remoto (RCE) rastreado como CVE-2020-0796 em março; ele afeta o Windows 10 e o Windows Server 2019, e classifica 10 de 10 na escala CVSS. Ele existe na versão 3.1.1 do protocolo Microsoft Server Message Block (SMB), o mesmo protocolo que foi alvo do infame ransomware WannaCry em 2017.

“Não tenho certeza de que método Shodan usa para determinar se uma determinada máquina é vulnerável ao SMBGhost, mas se seu mecanismo de detecção é preciso, parece que ainda há mais de 103.000 máquinas afetadas acessíveis da internet”, disse Jan Kopriva, um dos pesquisadores do SANS Internet Storm Center, em um post na quarta-feira.

De acordo com Kopriva, muitos desses sistemas vulneráveis (22%) estão em Taiwan, Japão (20%, Rússia (11%) e EUA (9%).

A Microsoft lançou sua correção, KB4551762, como uma atualização para o Windows 10 (versões 1903 e 1909) e Windows Server 2019 (versões 1903 e 1909).

Em vez de um patch, a Microsoft havia notado em março que os administradores podem usar o PowerShell para desativar a compactação SMBv3, que impedirá que invasores não autenticados explorem a vulnerabilidade contra um servidor SMBv3. Para proteger os clientes de ataques externos, é necessário bloquear a porta TCP 445 no firewall do perímetro corporativo. Kopriva, por sua vez, também rastreou uma porcentagem de todos os IPs com um porto aberto 445 via Shodan, e descobriu que, no geral, aproximadamente 8% de todos os IPs têm a porta 445 aberta.

O gráfico abaixo mostra o número de sistemas vulneráveis que estão abertos ao SMBGhost. Kopriva observou em uma mensagem ao Threatpost que os “mergulhos” nos dados são presumivelmente causados pela re-digitalização de Shodan em um grande número de intervalos de IP.

Endereços IP detectados como vulneráveis ao SMBGhost por Shodan. Crédito: Jan Kopriva

A pressão é para que os administradores do sistema remendem seus sistemas contra o SMBGhost, com várias provas de conceitos (PoCs) para que a falha seja lançada nos últimos meses. Embora muitas tentativas de explorar o SMBGhost resultem apenas em negação de serviço ou escalada de privilégios locais, um PoC lançado em junho por alguém que atende por “Chompie”, que anunciou sua façanha para alcançar o RCE no Twitter.

“Uma vez que o lançamento deste PoC foi novamente recebido com grande atenção da mídia, pode-se razoavelmente esperar que, até agora, a maioria das máquinas vulneráveis teria sido corrigida – especialmente aquelas acessíveis da internet”, segundo Kopriva.

Esses PoCs também estimularam o Departamento de Segurança Interna a pedir que as empresas se atualizem em junho, dizendo que os cibercriminosos estão mirando os sistemas não reparados: A agência “recomenda fortemente o uso de um firewall para bloquear portas de blocos de mensagens de servidor da internet e aplicar patches a vulnerabilidades críticas e de alta gravidade o mais rápido possível”.

FONTE: THREATPOST

Previous post Experian ameaçada com multa maciça do GDPR depois de agir ilegalmente
Next post Governo dos EUA emite aviso sobre o Kimsuky APT Group

Deixe um comentário