Обновлено 12 марта.
В сети появилась информация об RCE-уязвимости CVE-2020-0796 в операционных системах Windows 10 и Windows Server, затрагивающей протокол Microsoft Server Message Block 3.1.1 (SMBv3). По информации компании Microsoft, потенциальный атакующий может использовать эту уязвимость для того, чтобы исполнить произвольный код на стороне SMB-сервера или SMB-клиента. Однако если для атаки на сервер достаточно послать на него специально созданный пакет, то для атаки на клиент злоумышленникам придется сконфигурировать вредоносный SMBv3-сервер и как-то убедить пользоваться подключиться к нему.
Специалисты по информационной безопасности считают, что данная уязвимость может быть использована для запуска червя, аналогичного WannaCry. Microsoft присваивает уязвимости критический рейтинг, то есть озаботиться ее закрытием стоит максимально срочно.
Для кого опасна CVE-2020-0796?
SMB — сетевой протокол для удалённого доступа к файлам, принтерам и прочим сетевым ресурсам. Он используется для реализации «Сети Microsoft Windows» и «Совместного использования файлов и принтеров». Если в вашей компании эти функции используются — это повод побеспокоиться.
Поскольку Microsoft Server Message Block 3.1.1 — сравнительно свежий протокол, он используется только в новых операционных системах:
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
То есть Windows 7, 8, 8.1 и более старые уязвимость не затрагивает. Однако поскольку большинство современных компьютеров работает под управлением Windows 10 с автоматической установкой обновлений, то, вероятно, уязвимости подвержено очень много компьютеров по всему миру – как домашних, так и корпоративных.
Эксплуатируют ли CVE-2020-0796 злоумышленники?
По данным Microsoft, уязвимость CVE-2020-0796 пока что не используется для атак – по крайней мере, таких атак пока никто не наблюдал.
Но проблема в том, что информация об уязвимости находится в общем доступе с 10 марта, так что эксплойты могут появиться с минуты на минуту, если еще не появились.
Что делать?
Обновление от 12 марта: компания Microsoft выпустила обновление безопасности, которое должно закрыть эту уязвимость. Скачать патч можно вот здесь.
Пока патча не существовало, приходилось использовать обходные пути. Компания Microsoft предлагала временное решение, блокирующее возможность эксплуатации этой уязвимости.
Для SMB-сервера:
- Заблокировать эксплуатацию уязвимости можно при помощи powershell-команды:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» DisableCompression -Type DWORD -Value 1 –Force
Для SMB-клиентов:
- Как и в случае с WannaCry, предлагают блокировать TCP-порт 445 на файерволле, работающем на периметре компании.
Также обязательно используйте надежное защитное решение, например такое, как Kaspersky Endpoint Security для бизнеса. Помимо прочих технологий, в нем работает подсистема Exploit Prevention, которая поможет защититься даже от неизвестных уязвимостей.