Kritisk sårbarhet i SMBv3
Microsoft har informerat om en sårbarhet i SMBv3-protokollet. Sårbarheten (CVE-2020-0796) ingår inte bland de som under tisdagskvällen åtgärdades i Microsofts månatliga uppdateringar. Bristen kan utnyttjas genom att skicka ett speciellt utformat paket till en SMB-server, eller genom att få en klient att ansluta till en skadlig SMB-server. Ett lyckat angrepp möjliggör för en angripare fjärrexekvera skadlig kod.[1]
Påverkade produkter
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based SystemsWindows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Uppdatering 2020-03-12
Microsoft har nu kommit ut med en patch för att rätta sårbarheten [2].
Rekommendationer
CERT-SE rekommenderar att patcha sårbara system omgående då “Proof-of-concept”-kod finns att tillgå.
Microsoft skriver att för att blockera möjligheten för en angripare att utnyttja sårbarheten i en SMBv3 Server kan administratör köra nedanstående PowerShell-kommando.[1]Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
Källor
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005 [2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796