Windows 10
Windows 10 uusimad väljaanded, nimelt v1903 ja v1909, sisaldavad ärakasutatavat turvaauku, mida saab kasutada Server Message Block (SMB) protokolli kasutamiseks. SMBv3-servereid ja kliente saab edukalt rikkuda ja kasutada suvalise koodi käivitamiseks. Veelgi murettekitavam on asjaolu, et turvanõrkust saab mõne lihtsa meetodi abil eemalt kasutada.
Microsoft tunnistas Microsofti serveri sõnumiploki 3.1.1 (SMB) protokolli uut turvaauku. Näib, et ettevõte on selle nädala patch teisipäeva värskenduste käigus varem üksikasjad kogemata lekitanud. The haavatavust saab kasutada kaugjuhtimisega koodi täitmiseks SMB-serveris või kliendis. Põhimõtteliselt on see seotud RCE (kaugkoodide täitmise) veaga.
Microsoft kinnitab turvalisuse haavatavust SMBv3 sees:
Sees julgeolekunõustamine eile avaldatud, selgitas Microsoft, et haavatavus mõjutab Windows 10 ja Windows Serveri versioone 1903 ja 1909. Siiski juhtis ettevõte kiiresti tähelepanu sellele, et viga pole veel ära kasutatud. Muide, ettevõte lekitas teadaolevalt CVE-2020-0796 märgistatud turvanõrkuse üksikasjad. Kuid seda tehes ei avaldanud ettevõte tehnilisi üksikasju. Microsoft pakkus lihtsalt viga kirjeldavaid lühikokkuvõtteid. Teave avaldati samade, mitme digitaalse turvatootega tegeleva ettevõtte eest, mis on osa ettevõtte aktiivsest kaitseprogrammist ja saavad varajase juurdepääsu veateabele.
CVE-2020-0796 - „ussitav” SMBv3 haavatavus.
Suurepärane…
pic.twitter.com/E3uPZkOyQN
- MalwareHunterTeam (@malwrhunterteam) 10. märts 2020
Oluline on märkida, et SMBv3 turvavea jaoks pole veel plaaster valmis. On ilmne, et Microsoft võis algselt plaanida selle haavatavuse jaoks plaastri väljaandmise, kuid ei suutnud seda ja seejärel ei suutnud tööstuspartnereid ja teenusepakkujaid värskendada. Selle tulemusel avaldati turvalisuse nõrkus, mida saab endiselt looduses kasutada.
Kuidas saavad ründajad kasutada SMBv3 turvalisuse haavatavust?
Kuigi üksikasjad on alles selgumas, mõjutavad need arvutisüsteeme, milles töötab Windows 10 versioon 1903, Windows Server v1903 (Server Core installimine), Windows 10 v1909 ja Windows Server v1909 (Server Core installimine). On siiski üsna tõenäoline, et ka Windowsi operatsioonisüsteemi varasemad kordused võivad olla haavatavad.
Salapärastel asjaoludel avaldati kriitiline viga Microsofti SMBv3 juurutamisel. https://t.co/8kGcNEpw7R
- Zack Whittaker (@zackwhittaker) 11. märts 2020
SMBv3 turvanõrkuse põhimõistet ja tüüpi selgitades märkis Microsoft: „Haavatavuse ärakasutamiseks SMB Serveri vastu võib autoriseerimata ründaja saata spetsiaalselt loodud paketi sihitud SMBv3 serverisse. SMB-kliendi haavatavuse kasutamiseks peab autentimata ründaja konfigureerima pahatahtliku SMBv3-serveri ja veenma kasutajat sellega ühendust looma. '
Ehkki detaile on vähe saada, ütlevad eksperdid, et viga SMBv3 võib võimaldada kaugründajatel haavatavate süsteemide üle täielikku kontrolli omada. Pealegi võib turvanõrkus olla ka ussitav. Teisisõnu võivad ründajad automatiseerida rünnakuid rikutud SMBv3-serverite kaudu ja rünnata mitut masinat.
Kuidas kaitsta Windowsi OS-i ja SMBv3-servereid uue turvaauke eest?
Microsoft võib olla tunnistanud turvanõrkuse olemasolu SMBv3-s. Kuid ettevõte ei ole selle kaitsmiseks pakkunud ühtegi plaastrit. Kasutajad võivad keelake ründajate vältimiseks SMBv3 tihendamine haavatavuse kasutamisest SMB-serveri vastu. Lihtne käsk PowerShelli sees käivitamiseks on järgmine:
Set-ItemProperty -Path 'HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters' DisableCompression -Tüüp DWORD -Väärtus 1 -Force
Ajutise kaitse SMBv3 turvanõrkuse tühistamiseks sisestage järgmine käsk:
Set-ItemProperty -Path 'HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters' DisableCompression -Tüüp DWORD -Väärtus 0 -Force
Paljud ettevõtted EI OLE haavatavad # SMBv3 CVE-2020-0796, nad töötavad endiselt Windows XP / 7 ja Server 2003/2008. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- CISOwithHoodie (@SecGuru_OTX) 11. märts 2020
Oluline on märkida, et see meetod ei ole kõikehõlmav ja pelgalt viivitab või hoiatab ründajat. Microsoft soovitab blokeerida tulemüürides ja klientarvutites TCP-pordi „445”. „See aitab kaitsta võrke rünnakute eest, mis algavad väljaspool ettevõtte piire. Mõjutatud sadamate blokeerimine ettevõtte piires on parim kaitse Interneti-põhiste rünnakute vältimiseks, ”soovitas Microsoft.
Sildid Windows aknad 10
