CVE-2020-0796 este o vulnerabilitate de execuție a codului de la distanță în Microsoft Server Message Block 3.11 (SMBv3). Un atacator ar putea exploata acest defect de securitate, trimițând un pachet special conceput către serverul SMBv3 țintă, la care victima trebuie să fie conectată.
Vulnerabilitatea se datorează unei erori atunci când SMBv3 gestionează pachete de date comprimate realizate în mod greșit și permite atacatorilor la distanță, neautentificați care îl exploatează să execute cod arbitrar în contextul aplicației.
Conform Microsoft,
utilizatorii sunt încurajați să dezactiveze compresia SMBv3 și să
filtreze TCP / 445 pe firewall-uri și computere client sau sa aplice
actualizările lunare.
Exploatarea acestei vulnerabilități deschide
sistemele până la un atac „wormable”, ceea ce înseamnă că ar fi ușor să
treceți de la victimă la victimă.
Sisteme potențiale afectate:
• Windows 10 versiunea 1903 32 biți, 64 biți, ARM64
• Windows 10 versiunea 1909 32 biți, 64 biți, ARM64
• Windows Server versiunea 1903
• Windows Server versiunea 1909
Soluţie:
• Dezactivați compresia SMBv3
Comanda
PowerShell: Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \
Services \ LanmanServer \ Parameters" -nume DisableCompression -Type
DWORD -Value 1 –Force
• Filtraţi port-ul TCP / 445 la firewall-ul perimetrului
Orange Moldova CERT recomandă să aplicaţi o soluție de rezolvare sau o actualizare lunară din 13 martie 2020.