CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

SMB tem nova vulnerabilidade e MS ainda não tem patch

Paulo Brito
12/03/2020

Problema atinge o mesmo protocolo explorado em 2017 pelo WannaCry. Sua existência vazou em relatórios da Fortinet e da Cisco Talos antes que a Microsoft pudesse desenvolver um patch

O SMB (server message block), mesmo protocolo atacado em 2017 pelo WannaCry, tem nova vulnerabilidade. Ela já ganhou o número CVE-2020-0796 mas infelizmente ainda não tem correção. A existência do problema vazou em relatórios da Fortinet e da Cisco Talos antes que houvesse um patch , aparentemente por causa de um problema de comunicação entre as duas empresas e a MS. Os dois relatórios já foram removidos da web mas a informação vazou e circulou. Desse modo, a vulnerabilidade pode estar sendo explorada. 

O bug é crítico e está presente tanto no Windows 10 quanto no Windows Server 2019. Ele está na versão 3.1.1 do SMB, o sistema de compartilhamento de arquivos da Microsoft. Ele permite que vários clientes acessem pastas compartilhadas e pode proporcionar facilidades para malware em movimento lateral e infecção de cliente para cliente. Em 2017, o ransomware WannaCry usou o exploit EternalBlue SMB desenvolvido pela NSA para se propagar rapidamente em todo o mundo explorando a versão 1 do SMB. 

De acordo com informações do relatório que vazou da Fortinet, o problema é uma “vulnerabilidade de buffer overflow” que poderia ser usado para execução de código. Já o alerta da Cisco Talos dizia que um ataque “desagradável” seria capaz de explorar a vulnerabilidade para “passar de vítima para vítima”.

A Microsoft emitiu um comunicado sobre o assunto oe afirmou não haver evidências de que a vulnerabilidade já esteja em uso por malfeitores. Apesar disso, observou que os administradores podem usar o PowerShell para desativar a compactação SMBv3, impedindo que invasores não autenticados explorem a vulnerabilidade. Além disso, para proteger os clientes de ataques externos, é necessário bloquear a porta TCP 445 no firewall.
Com agências internacionais

Compartilhar: