Details over een nieuwe "wormbare" kwetsbaarheid in het Microsoft Server Message Block (SMB) protocol zijn per ongeluk online gelekt vandaag tijdens de inleiding tot de reguliere update-cyclus van Patch Tuesday van Microsoft.
Er zijn geen technische details gepubliceerd, maar korte samenvattingen waarin de bug wordt beschreven, zijn geplaatst op de websites van twee cyberbeveiligingsbedrijven, Cisco Talos en Fortinet.
De beveiligingsfout, gevolgd als CVE-2020-0796, is niet inbegrepen bij de updates van de Patch Tuesday van maart 2020 van deze maand en het is onduidelijk wanneer deze zal worden gepatcht.
Bufferoverloop in SMBv3
Volgens Fortinetwerd de bug beschreven als 'een bufferoverloopkwetsbaarheid in Microsoft SMB-servers' en kreeg een maximale ernstbeoordeling.
"De kwetsbaarheid is te wijten aan een fout wanneer de kwetsbare software een kwaadwillig vervaardigd gecomprimeerd datapakket afhandelt", zei Fortinet. "Een externe, niet-geverifieerde aanvaller kan hiervan misbruik maken om willekeurige code uit te voeren binnen de context van de applicatie."
Er werd ook een vergelijkbare beschrijving geplaatst - en later verwijderd - in een Cisco Talos-blogpost. Het bedrijf zei dat "de uitbuiting van deze kwetsbaarheid systemen openstelt voor een 'wormbare' aanval, wat betekent dat het gemakkelijk zou zijn om van slachtoffer naar slachtoffer te gaan."
Waarschuwing voor een wormbare bug die MKB-stands treft, waardoor sommige systeembeheerders de rillingen over het hoofd worden gezien. Dit komt omdat SMB hetzelfde protocol is dat de WannaCry- en NotPetya-ransomwarestammen in de lente en zomer van 2017 wereldwijd heeft verspreid via een wormachtig gedrag.
Er worden momenteel geen aanvallen verwacht
Wereldwijd is er echter geen gevaar voor organisaties. Alleen details over de bug lekten online, niet de daadwerkelijke exploitcode, zoals in 2017.
Hoewel het lek van vandaag enkele slechte acteurs op de hoogte bracht van de aanwezigheid van een grote bug in SMBv3, wordt niet verwacht dat uitbuitingspogingen snel zullen beginnen.
Verder zijn er ook andere positieve punten. Deze nieuwe "wormbare SMB-bug" heeft bijvoorbeeld alleen gevolgen voor SMBv3, de nieuwste versie van het protocol, die alleen bij recente versies van Windows wordt geleverd.
Meer specifiek vermeldt Fortinet alleen Windows 10 v1903, Windows10 v1909, Windows Server v1903 en Windows Server v1909 als beïnvloed door de nieuwe CVE-2020-0796-bug.
Onduidelijk hoe het lek is ontstaan
Hoe en waarom de details over een dergelijke kritieke kwetsbaarheid die online is gelekt, blijft een mysterie, althans voorlopig. Microsoft heeft vóór de publicatie van dit artikel geen verzoek om commentaar geretourneerd.
Er zijn momenteel twee theorieën over hoe dit mogelijk is gebeurd. De eerste betreft het Common Vulnerability Reporting Framework (CVRF) en het Microsoft Active Protections Program (MAPP).
Dit verwijst naar het delen van details over aanstaande patches door Microsoft met vertrouwde branchepartners, zoals antivirusmakers en hardwareleveranciers.
De theorie is dat Microsoft mogelijk een lijst met aankomende kwetsbaarheden heeft gedeeld, maar vervolgens de bug uit de lijst heeft verwijderd met korte tijd voor sommige leveranciers - zoals Cisco Talos en Fortinet - om hun eigen beveiligingsadviezen bij te werken.
Microsoft brengt vroege versies van hun CVRF uit naar MAPP en haalt vervolgens op het laatste moment CVE's op zonder het aan iemand te vertellen. Wanneer ze vervolgens de openbare CVRF niet tijdig publiceren, is het begrijpelijk dat dergelijke fouten zullen optreden.
- regnil (@regnil) 10 maart 2020
De tweede is dat de informatie over CVE-2020-0796 per ongeluk werd gedeeld via de Microsoft API, die sommige antivirus-leveranciers, sysadmins en verslaggevers schrapen voor informatie over Patch Tuesday-patches, zodra ze uitkomen.
De theorie is dat de bug aanvankelijk gepland was om deze maand een patch te ontvangen, maar later werd verwijderd; echter zonder verwijderd te worden van de API en uiteindelijk zijn weg te vinden naar de adviezen van Talos en Fortinet.
Waarschijnlijk een bug die ze verwachtten te herstellen, maar niet deden.
Ze zijn waarschijnlijk vergeten om het te verwijderen uit de Microsoft API die Patch Tuesday-details weergeeft, dus nu schrapt elke cyberbeveiligingsfirma die API de bug in zijn adviezen.
De API is nu offline, trouwens pic.twitter.com/9wruB0okbz
- Catalin Cimpanu (@campuscodi) 10 maart 2020
Microsoft heeft geen verzoek om commentaar geretourneerd over wanneer een patch wordt geleverd voor CVE-2020-0796.
Tot die tijd blijft het nu verwijderde advies van Cisco Talos het meest betrouwbare advies over het omgaan met onverwachte situaties met betrekking tot deze bug.
"Gebruikers worden aangemoedigd om SMBv3-compressie uit te schakelen en TCP-poort 445 op firewalls en clientcomputers te blokkeren."
In het licht van de patch-snafu zijn sommige beveiligingsonderzoekers nu begonnen met het noemen van de bug SMBGhost, zoals iedereen weet, is de bug aanwezig, maar niemand kan hem zien.
