Vulnerabilitatea în Microsoft SMBv3

CVE-2020-0796 este o vulnerabilitate de execuție a codului de la distanță în Microsoft Server Message Block 3.11 (SMBv3). Un atacator ar putea exploata acest defect de securitate, trimițând un pachet special conceput către serverul SMBv3 țintă, la care victima trebuie să fie conectată.

Vulnerabilitatea se datorează unei erori atunci când SMBv3 gestionează pachete de date comprimate realizate în mod greșit și permite atacatorilor la distanță, neautentificați care îl exploatează să execute cod arbitrar în contextul aplicației.

Conform Microsoft, utilizatorii sunt încurajați să dezactiveze compresia SMBv3 și să filtreze TCP / 445 pe firewall-uri și computere client sau sa aplice actualizările lunare.
Exploatarea acestei vulnerabilități deschide sistemele până la un atac „wormable”, ceea ce înseamnă că ar fi ușor să treceți de la victimă la victimă.

Sisteme potențiale afectate:
•    Windows 10 versiunea 1903 32 biți, 64 biți, ARM64
•    Windows 10 versiunea 1909 32 biți, 64 biți, ARM64
•    Windows Server versiunea 1903
•    Windows Server versiunea 1909

Soluţie:
•    Dezactivați compresia SMBv3
Comanda PowerShell: Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" -nume DisableCompression -Type DWORD -Value 1 –Force
•    Filtraţi port-ul TCP / 445 la firewall-ul perimetrului

Orange Moldova CERT recomandă să aplicaţi o soluție de rezolvare sau o actualizare lunară din 13 martie 2020.