CVE-2020-0796 - коронавирус для Windows, и вакцина вторника

CVE-2020-0796 - коронавирус для Windows, и вакцина вторника
- SMBv1 уже закрыли, чего еще бояться?
- Петя уже не вернется, мы все пропатчили!

...ИТ-специалисты уже начали забывать об опасностях, которые несет в себе протокол SMB, но не тут-то было...

10 марта 2020 года уязвимость с CVE-2020-0796 открывает вредоносам не менее широкие возможности, чем это делал Petya.


Тип уязвимости: RCE, удаленное выполнение произвольного кода, авторизации не требует.

CVSS10

Причина: ошибка при обработке сжатых пакетов SMBv3. В отличие от WannaCry и Petya, выполнение произвольного кода возможно не только на сервере, но и на клиенте, если он подключится не к тому SMB-серверу.

Уязвимые системы:
Windows 10 Версия 1903 для 32-битных систем
Windows 10 версии 1903 для систем на базе ARM64
Windows 10 Версия 1903 для 64-разрядных систем
Windows 10 Версия 1909 для 32-битных систем
Windows 10 версии 1909 для систем на базе ARM64
Windows 10 Версия 1909 для 64-разрядных систем
Windows Server, версия 1903 (установка Server Core)
Windows Server, версия 1909 (установка Server Core)
   
Патч: на момент написания статьи отсутствует.

Workaround: отключить сжатие на серверах SMBv3.  Microsoft  предлагает создать ключ в реестре c помощью скрипта PowerShell:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

Учтите, что это защитит SMB-сервер, но SMB-клиент остается уязвимым.

Кроме того, стоит запретить доступ по порту 445 из недоверенных сегментов, ограничить использование протокола SMB внутри корпоративной сети и не подключаться к малознакомым файловым серверам где бы то ни было.

И в дополнение:
Чтобы не было мучительно больно, обратите внимание, что в  сегодняшнем выпуске патчей  от Microsoft было устранено много  интересного и опасного
Жаль, что там не нашлось места для устранения CVE-2020-0796, но затягивать с установкой не стоит.



Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Автоматизация для ИБ: меньше писем — больше контроля

Примите участие в воркшопе и уже завтра избавьтесь от ручной работы.

Реклама.18+. ООО «СЕКЪЮРИТМ», ИНН 7820074059


Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed