0
0
Enquanto a Microsoft corrigiu o bug conhecido como CVE-2020-0796 em março, mais de um sistema Windows de 100.000 ainda estão vulneráveis.
Mais de 100.000 sistemas Windows ainda não foram atualizados para proteger contra uma falha previamente corrigida, crítica e wormable no Windows chamada SMBGhost.
A Microsoft corrigiu o bug de falha de execução de código remoto (RCE) rastreado como CVE-2020-0796 em março; ele afeta o Windows 10 e o Windows Server 2019, e classifica 10 de 10 na escala CVSS. Ele existe na versão 3.1.1 do protocolo Microsoft Server Message Block (SMB), o mesmo protocolo que foi alvo do infame ransomware WannaCry em 2017.
“Não tenho certeza de que método Shodan usa para determinar se uma determinada máquina é vulnerável ao SMBGhost, mas se seu mecanismo de detecção é preciso, parece que ainda há mais de 103.000 máquinas afetadas acessíveis da internet”, disse Jan Kopriva, um dos pesquisadores do SANS Internet Storm Center, em um post na quarta-feira.
De acordo com Kopriva, muitos desses sistemas vulneráveis (22%) estão em Taiwan, Japão (20%, Rússia (11%) e EUA (9%).
A Microsoft lançou sua correção, KB4551762, como uma atualização para o Windows 10 (versões 1903 e 1909) e Windows Server 2019 (versões 1903 e 1909).
Em vez de um patch, a Microsoft havia notado em março que os administradores podem usar o PowerShell para desativar a compactação SMBv3, que impedirá que invasores não autenticados explorem a vulnerabilidade contra um servidor SMBv3. Para proteger os clientes de ataques externos, é necessário bloquear a porta TCP 445 no firewall do perímetro corporativo. Kopriva, por sua vez, também rastreou uma porcentagem de todos os IPs com um porto aberto 445 via Shodan, e descobriu que, no geral, aproximadamente 8% de todos os IPs têm a porta 445 aberta.
O gráfico abaixo mostra o número de sistemas vulneráveis que estão abertos ao SMBGhost. Kopriva observou em uma mensagem ao Threatpost que os “mergulhos” nos dados são presumivelmente causados pela re-digitalização de Shodan em um grande número de intervalos de IP.
Endereços IP detectados como vulneráveis ao SMBGhost por Shodan. Crédito: Jan Kopriva
A pressão é para que os administradores do sistema remendem seus sistemas contra o SMBGhost, com várias provas de conceitos (PoCs) para que a falha seja lançada nos últimos meses. Embora muitas tentativas de explorar o SMBGhost resultem apenas em negação de serviço ou escalada de privilégios locais, um PoC lançado em junho por alguém que atende por “Chompie”, que anunciou sua façanha para alcançar o RCE no Twitter.
“Uma vez que o lançamento deste PoC foi novamente recebido com grande atenção da mídia, pode-se razoavelmente esperar que, até agora, a maioria das máquinas vulneráveis teria sido corrigida – especialmente aquelas acessíveis da internet”, segundo Kopriva.
Esses PoCs também estimularam o Departamento de Segurança Interna a pedir que as empresas se atualizem em junho, dizendo que os cibercriminosos estão mirando os sistemas não reparados: A agência “recomenda fortemente o uso de um firewall para bloquear portas de blocos de mensagens de servidor da internet e aplicar patches a vulnerabilidades críticas e de alta gravidade o mais rápido possível”.
FONTE: THREATPOST