Microsoft corrige falha SMBv3 que afeta Windows 10 e Windows Server

Microsoft corrige falha SMBv3 que afeta Windows 10 e Windows Server. A Microsoft lançou correção para a vulnerabilidade de execução remota de código nas versões recentes do Windows 10 e Windows Server.

A atualização de segurança lançada dia 12 de março, segue o lote habitual de atualizações de segurança mensais já lançadas na “Patch Tuesday” de março. No geral, a “Patch Tuesday” deste mês apresentou correções para 115 falhas diferentes. Mas uma falha adicional – considerada crítica, porque poderia ser usada por atacantes remotos para executar código arbitrário em sistemas vulneráveis ​​- veio à tona, aparentemente devido a uma falha de coordenação entre a Microsoft e um ou mais parceiros de negócios de segurança com os quais compartilha antecipadamente avisos de falhas que planeja corrigir.

A vulnerabilidade é devido a uma falha no protocolo Microsoft Server Message Block 3.1.1 – SMBv3 (CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability), a falha existe em todas as versões do Windows 10 e no Windows Server Core, versões 1903 e 1909. Não está claro se alguma versão do Windows que não é mais suportada também pode ser afetada.

Esta vulnerabilidade se aplica ao Windows 10 (versão 1903), Windows 10 (versão 1909), Windows Server (versão 1903) e Windows Server (versão 1909)“, diz a Microsoft . “Embora não tenhamos observado um ataque que explora essa vulnerabilidade, recomendamos que você aplique esta atualização aos dispositivos afetados com prioridade“.

Para explorar a vulnerabilidade em um servidor SMB, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 de destino. Para explorar a vulnerabilidade em um cliente SMB, um invasor não autenticado precisa configurar um servidor SMBv3 mal-intencionado e convencer o usuário a conectar a ele “, diz a Microsoft.

Para eliminar a falha nos clientes, a Microsoft diz que sua atualização, KB4551762 , deve ser instalada, mesmo para organizações que já implementaram uma das soluções alternativas de servidor (Veja abaixo em “Solução paliativa até a instalação do Patch“).

Qualquer organização que use uma versão vulnerável do Windows 10 ou Windows Server com as atualizações automáticas ativadas receberá a correção automaticamente. Porém, para qualquer organização que gerencia manualmente as atualizações, a Microsoft diz que deve baixar e instalar as novas atualizações de segurança divulgadas.

Atualize o mais rápido possível ou use as informações alternativas … para proteger suas redes“, twittou Nate Warfield, membro da Equipe de Pesquisa de Segurança da Microsoft.

 

Servidores vulneráveis ​​abundam

Qual é o risco? Na quinta-feira, 12 de março,  a empresa de segurança Kryptos Logic informou ter contado pelo menos 48.000 hosts vulneráveis ​​do Windows Server que possuem a falha e estão conectados à Internet. “Menos de 4% dos endpoints de SMB acessíveis ao público potencialmente têm essa vulnerabilidade, uma vez que se baseiam em versões específicas do sistema operacional, então eu sugiro que as organizações não se desesperem“, diz o especialista em segurança britânico Kevin Beaumont .

Dito isso, Tal Be’ery, pesquisador de segurança da KZen, observa que, se explorada, a falha poderia ser usada pelo menos para travar sistemas vulneráveis, acionando a temida “tela azul da morte” do Windows.

Uma boa notícia – além de um patch estar agora disponível – é que o bug parece difícil para os hackers explorarem. “De acordo com @ zerosum0x0 , uma pessoa que analisou o WannaCry no passado, o bug é fácil de encontrar, mas não tão fácil de explorar“, disse Lucas George , pesquisador da empresa de segurança Synacktiv, em um post no blog.

 

Solução paliativa até a instalação do Patch 

Até que as organizações instalem o patch, elas podem atenuar a falha dos servidores usando uma solução alternativa da Microsoft, que envolve a desativação da compactação SMBv3. Mas não há soluções completas para os clientes, o que significa que eles permanecem vulneráveis ​​à exploração até serem corrigidos.

Para proteger parcialmente os clientes, no entanto, bloqueie a porta TCP 445, que “é usada para iniciar uma conexão com o componente afetado”, diz a Microsoft. “O bloqueio dessa porta no firewall de perímetro da rede ajudará a proteger os sistemas que estão por trás desse firewall contra tentativas de explorar essa vulnerabilidade. Isso pode ajudar a proteger as redes contra ataques originados fora do perímetro da empresa“.

  • Você pode desativar a compactação para impedir que invasores não autenticados explorem a vulnerabilidade em um servidor SMBv3 com o comando PowerShell abaixo.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Notas:

    1. Nenhuma reinicialização é necessária após a alteração.
    2. Esta solução alternativa não impede a exploração de clientes SMB;
    3. A compactação SMB ainda não é usada pelo Windows ou Windows Server e desabilitar a compactação SMB não tem impacto negativo no desempenho.
  • Você pode desativar a solução alternativa (reativar a compactação) com o comando do PowerShell abaixo.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Nota: Nenhuma reinicialização é necessária após a desativação da solução alternativa.

  • Até que o patch, todas as organizações devem garantir que eles tenham verificado que nenhum dos seus sistemas estão expondo a porta TCP 445 à internet, diz o especialista em resposta a incidentes David Stubley, que dirige Edimburgo, Escócia baseada em segurança testar firme e consultoria 7 Elements .

 

Embora não tenhamos observado um ataque que explora essa vulnerabilidade, recomendamos que você aplique esta atualização aos dispositivos afetados com prioridade“.
—Microsoft

Na maioria dos casos, a vulnerabilidade SMB será limitada às redes internas. No entanto, é essencial obter garantias de que você não está expondo o serviço à Internet“, disse Stubley ao Information Security Media Group.

 

Falha no SMBv3

Uma preocupação com a falha do SMBv3 é que ele pode ser explorado pelos invasores para criar um worm capaz de saltar diretamente de um sistema infectado para outro dentro de firewalls corporativos. Foi o que aconteceu em maio de 2017 com o WannaCry, que incluía a capacidade de mover-se de sistema em sistema, explorando uma falha do SMBv1 conhecida como EternalBlue, também conhecida como CVE-2017-0144.

A ferramenta de exploração EternalBlue foi construída pela Agência de Segurança Nacional dos EUA, antes de ser obtida de alguma forma pela gangue Shadow Brokers e vazada em abril de 2017. Tanto os governos dos EUA quanto do Reino Unido culpam a Coréia do Norte pelo lançamento do WannaCry, que utilizou o EternalBlue para ativar seu worm.

Apesar de um patch ter sido lançado há três anos para corrigir a falha do SMBv1 direcionada pelo EternalBlue, um número significativo de sistemas Windows ainda permanece vulnerável .

Fonte: Bank Info Security & Windows Support

 

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Atualização do Windows 10 falha na instalação e causa problemas
  2. Atualização do Windows 10 falha na instalação e causa problemas – Information Security
  3. Treinamento On-Line Shellcoding for Exploitation
  4. Trabalhadores remotos são alvos de campanhas de phishing
  5. Pandemia do Coronavírus poderá postergar LGPD?

Deixe sua opinião!