Na het onbedoeld lekken van details over een wormbare Windows SMBv3 RCE-fout (CVE-2020-0796) op dinsdag, heeft Microsoft haastig een patch (dwz beveiligingsupdates).
De fout treft Windows 10 (versies 1903 en 1909) en Windows Server (1903 en 1909) installaties, dus beheerders die deze onder hun hoede hebben, worden dringend verzocht de beveiligingsupdates onmiddellijk te implementeren.
Degenen die dat niet kunnen, moeten op zijn minst SMBv3-compressie uitschakelen, TCP-poort 445 blokkeren bij de firewall van de ondernemingsperimeter en voorkomen dat SMB-verkeer via laterale verbindingen het netwerk binnenkomt of verlaat. Begeleiding over hoe dat te doen is ook geweest mits door Microsoft.
CVE-2020-0796 PoC-exploits
CVE-2020-0796, ook wel informeel SMBGhost genoemd, kan op verschillende manieren worden misbruikt.
"Een netwerkgebaseerde aanval kan elke Windows-computer waarop het delen van bestanden is ingeschakeld, in gevaar brengen, of die machine nu gewoon een standaard desktop is of een robuustere bestandsserver", aldus onderzoekers van SophosLabs. wees erop.
Aanvallers kunnen ook een kwaadaardige server voor het delen van bestanden opzetten, doelen misleiden om er verbinding mee te maken en een kwaadaardig antwoord op het verbindingsverzoek terugsturen (het antwoord kan de exploit terugvoeren naar de SMB-client van de gebruiker..
Ten slotte zou een interne aanvaller de fout kunnen misbruiken om zichzelf SYSTEEM-privileges te geven (na code-uitvoering te hebben verkregen op de aangevallen machine).
SophosLabs-onderzoekers hebben een proof-of-concept-exploit ontwikkeld voor dit laatste scenario, maar zullen deze voorlopig niet delen.
Andere onderzoekers hebben ook PoC-code gemaakt die kan resulteren in een DoS-conditie, en hebben opgemerkt dat de bug gemakkelijk te ontdekken was, ook al hadden ze niet de patch om te analyseren en inzichten te bieden:
Ons Telltale-onderzoeksteam zal binnenkort nieuwe inzichten in CVE-2020-0796 delen. Tot die tijd is hier een korte DoS PoC van onze onderzoeker @MalwareTechBlog gemaakt. De #MKB bug lijkt triviaal om te identificeren, zelfs zonder de aanwezigheid van een patch om te analyseren. https://t.co/7opHftyDh0 @2sec4u pic.twitter.com/0H7FYIxvne
— Kryptos Logic (@kryptoslogic) 12 maart 2020
Sinacktiv's Lucas Georges heeft ook een verhelderend gepubliceerd oorzaakanalyse van de fout.
Het is slechts een kwestie van tijd voordat aanvallers erin slagen om zelf een exploit te creëren en deze te gebruiken, en aangezien die er is geen gebrek aan kwetsbare gastheren, kan een groot probleem zijn.
Dit is natuurlijk een groot probleem, maar ik zou beheerders ook willen aansporen om de andere belangrijke patches niet te vergeten uitgebracht deze patch-dinsdag van maart 2020.
Source: https://www.helpnetsecurity.com/2020/03/12/cve-2020-0796-security-updates/
