„Windows 10“
Naujausiuose „Windows 10“ leidimuose, būtent „v1903“ ir „v1909“, yra išnaudojama saugos spraga, kurią galima naudoti norint išnaudoti serverio pranešimų bloko (SMB) protokolą. „SMBv3“ serveriai ir klientai gali būti sėkmingai pažeisti ir naudojami norint paleisti savavališką kodą. Dar daugiau kelia tai, kad saugumo spragą galima nuotoliniu būdu panaudoti keliais paprastais metodais.
„Microsoft“ pripažino naują „Microsoft Server Message Block 3.1.1“ (SMB) protokolo saugumo spragą. Panašu, kad bendrovė anksčiau netyčia nutekino detales per šios savaitės pataisų antradienį. pažeidžiamumas gali būti naudojamas nuotoliniu būdu vykdyti kodą SMB serveryje ar kliente. Iš esmės tai yra susijusi su RCE (nuotolinio kodo vykdymo) klaida.
„Microsoft“ patvirtina saugumo pažeidžiamumą SMBv3 viduje:
A saugumo patarimas vakar paskelbta „Microsoft“ paaiškino, kad pažeidžiamumas turi įtakos „Windows 10“ ir „Windows Server“ 1903 ir 1909 versijoms. Tačiau bendrovė greitai nurodė, kad trūkumas dar nebuvo išnaudotas. Beje, pranešama, kad bendrovė paviešino išsamią informaciją apie saugos pažeidžiamumą, pažymėtą CVE-2020-0796. Tačiau tai darydama įmonė neskelbė jokios techninės informacijos. „Microsoft“ pasiūlė tik trumpas klaidos aprašymo santraukas. Pasisėmusi tų pačių, kelių skaitmeninio saugumo produktų kompanijų, kurios yra įmonės aktyvios apsaugos programos dalis ir iš anksto gauna informaciją apie klaidas, paskelbė informaciją.
CVE-2020-0796 - „kirminamas“ SMBv3 pažeidžiamumas.
Puiku ...
pic.twitter.com/E3uPZkOyQN
- „MalwareHunterTeam“ (@malwrhunterteam) 2020 m. Kovo 10 d
Svarbu pažymėti, kad SMBv3 saugos klaida dar nėra parengta pleistro. Akivaizdu, kad „Microsoft“ iš pradžių galėjo planuoti išleisti šio pažeidžiamumo pataisą, tačiau negalėjo ir tada nepavyko atnaujinti pramonės partnerių ir pardavėjų. Tai leido paskelbti saugumo pažeidžiamumą, kurį vis dar galima išnaudoti laukinėje gamtoje.
Kaip užpuolikai gali išnaudoti SMBv3 saugumo pažeidžiamumą?
Kol vis dar išsiaiškinama išsami informacija, tai veikia kompiuterines sistemas, kuriose veikia „Windows 10“ versija 1903, „Windows Server v1903“ („Server Core“ diegimas), „Windows 10“ v1909 ir „Windows Server v1909“ („Server Core“ diegimas). Vis dėlto labai tikėtina, kad ankstesnės „Windows OS“ iteracijos taip pat gali būti pažeidžiamos.
Paslaptingomis aplinkybėmis buvo paskelbta kritinė „Microsoft“ SMBv3 diegimo klaida. https://t.co/8kGcNEpw7R
- Zackas Whittakeris (@ zackwhittaker) 2020 m. Kovo 11 d
Aiškindamas pagrindinę SMBv3 saugos pažeidžiamumo sampratą ir tipą, „Microsoft“ pažymėjo: „Norėdamas išnaudoti pažeidžiamumą prieš SMB serverį, neautentifikuotas užpuolikas galėtų nusiųsti specialiai sukurtą paketą į tikslinį SMBv3 serverį. Norint išnaudoti pažeidžiamumą prieš SMB klientą, neautentifikuotas užpuolikas turės sukonfigūruoti kenksmingą SMBv3 serverį ir įtikinti vartotoją prisijungti prie jo. “
Nors detalių yra nedaug, ekspertai nurodo, kad SMBv3 klaida gali leisti nuotoliniams užpuolikams visiškai kontroliuoti pažeidžiamas sistemas. Be to, saugumo pažeidžiamumas taip pat gali būti sunaikinamas. Kitaip tariant, užpuolikai galėjo automatizuoti atakas per pažeistus SMBv3 serverius ir užpulti kelias mašinas.
Kaip apsaugoti „Windows OS“ ir „SMBv3“ serverius nuo naujo saugumo pažeidžiamumo?
„Microsoft“ galėjo pripažinti, kad SMBv3 viduje yra saugos pažeidžiamumas. Tačiau bendrovė nepasiūlė jokio pleistro, kuris apsaugotų tą patį. Vartotojai gali išjunkite SMBv3 glaudinimą, kad išvengtumėte užpuolikų naudoti pažeidžiamumą prieš SMB serverį. Paprasta komanda vykdyti „PowerShell“ viduje yra tokia:
Set-ItemProperty -Path „HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters“ DisableCompression -Type DWORD -Value 1 -Force
Norėdami anuliuoti laikiną apsaugą nuo SMBv3 saugos pažeidžiamumo, įveskite šią komandą:
Set-ItemProperty -Path „HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters“ DisableCompression -Type DWORD -Vertė 0 -Force
Daugybė įmonių nėra pažeidžiamos # SMBv3 CVE-2020-0796, jie vis dar naudoja „Windows XP / 7“ ir „Server 2003/2008“. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- „CISOwithHoodie“ (@SecGuru_OTX) 2020 m. Kovo 11 d
Svarbu atkreipti dėmesį į tai, kad metodas nėra išsamus ir tik užvilks ar atgrasys užpuoliką. „Microsoft“ rekomenduoja blokuoti ugniasienių ir klientų kompiuterių TCP prievadą „445“. „Tai gali padėti apsaugoti tinklus nuo užpuolimų, kurie kyla už įmonės ribų. Pažeistų uostų blokavimas įmonės perimetre yra geriausia apsauga, padedanti išvengti interneto atakų “, - patarė„ Microsoft “.
Žymos „Windows“ langai 10
