Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Loapi, malvér na ťažbu kryptomeny
Tlačové správy
27.03.2020
Mesačný prehľad za mesiac február 2020
Tlačové správy
05.03.2020
Malvér: Emotet / Trickbot / Ryuk
Tlačové správy
18.02.2020
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Kritická zraniteľnosť typu „wormable“ umožňuje vzdialené vykonávanie kódu v Microsoft Server Message Block 3.1.1.

12.03.2020
Spoločnosť Microsoft zverejnila 10. marca upozornenie ADV200005, týkajúce sa kritickej zraniteľnosti zneužiteľnej na vzdialené vykonávanie kódu v protokole Microsoft Server Message Block 3.1.1 (SMBv3). Táto zraniteľnosť je spôsobená chybou spracúvania skomprimovaných škodlivých dátových paketov. Neautentifikovanému útočníkovi umožňuje zneužitie tejto chyby vykonávať ľubovoľný kód v kontexte aplikácie. Útok môže byť vedený na SMBv3 servery, aj klientov.

 

Dôsledky

  • Vzdialené vykonávanie kódu
  • Prenos škodlivého kódu na ďalšie zraniteľné systémy v sieti (červ)
  • Získanie plnej kontroly nad zraniteľným systémom.

Opis činnosti
CVE-2020-0796
V protokole Microsoft Server Message Block 3.1.1 (SMBv3) bola objavená kritická zraniteľnosť umožňujúca vzdialené vykonávanie kódu, a zároveň šírenie škodlivého kódu na ďalšie zraniteľné zariadenia na sieti vo forme červa (takzvaný „wormable“ útok). Podľa spoločnosti Microsoft chyba existuje v spôsobe, akým SMBv3 spracováva určité požiadavky. V prípade servera SMBv3 by neautentifikovaný útočník mohol túto chybu zneužiť odoslaním špeciálne vytvoreného paketu na zraniteľný server SMBv3. V prípade klienta SMBv3 by útočník musel nakonfigurovať škodlivý server SMBv3 a presvedčiť používateľa, aby sa pripojil k nemu pripojil. Úspešné zneužitie zraniteľnosti by poskytlo útočníkovi možnosť ľubovoľného vykonávania kódu na serveri SMB aj u SMB klienta. Na základe pravidla systému na prevenciu prienikov (IPS), ktoré vydala spoločnosť FortiGuard Labs sa zdá, že chyba pramení zo zraniteľnosti pretečenia vyrovnávacej pamäte, ktorá sa vyskytuje v dôsledku chyby v spracúvaní komprimovaných dátových paketov.

Zraniteľné systémy

  • Windows Server Version 1903 (Server Core Installation)
  • Windows Server Version 1909 (Server Core Installation)
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Pravdepodobne aj Windows 8 a Windows Server 2012

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Momentálne neexistuje žiadna oprava tejto chyby zabezpečenia. Spoločnosť Microsoft však poskytla pokyny na zmiernenie dopadov zraniteľnosti:

  • Zákaz kompresie
  • Blokovanie prichádzajúcej a odchádzajúcej komunikácie na porte TCP 445 na firewall-e obvodovej siete, čo pomôže chrániť systémy, ktoré sú za bránou firewall pred pokusmi o zneužitie tejto zraniteľnosti.

Aj keď tieto riešenia bránia zneužitiu zraniteľného servera SMBv3, je dôležité si uvedomiť, že klienti SMBv3 zostanú zraniteľní, kým nebude k dispozícii oprava.

Odkazy
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/
https://www.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block
https://securityaffairs.co/wordpress/99340/hacking/cve-2020-0796-smb-flaw.html



<< zoznam oznámení