Microsoft publica notificação sobre uma nova vulnerabilidade

Texto traduzido e adaptado de “ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression

A Microsoft lançou na última segunda-feita (10/03) sua atualização mensal de segurança para os usuários de sistemas Windows, divulgando as vulnerabilidades analisadas e suas atualizações correspondentes. Esse patch contempla um total de 117 brechas de segurança, sendo elas:

  • 25 críticas
  • 91 importantes
  • 1 moderada

Dentre essas vulnerabilidades citadas, a Microsoft dá destaque para a CVE-2020-0796.

O que é CVE-2020-0796?

Trata-se de uma vulnerabilidade que afeta a maneira como o protocolo SMBv3 (Server Message Block 3.1.1) lida com as requisições feitas pelos usuários, independentemente se for um cliente ou um servidor. Dessa maneira, um agente mal intencionado que não esteja autenticado pode enviar um pacote de dados especialmente criado para um servidor direcionado – ou até criar o seu próprio ambiente malicioso – com a intenção de convencer um usuário legítimo a aceitá-lo. A exploração dessa brecha pode permitir a um invasor executar remotamente um código arbitrário dentro do sistema.

Essa vulnerabilidade apresenta semelhanças com o EtenalBlue (CVE-2017-0144), a falha de segurança presente no Microsoft SMBv1 que possibilitou a ocorrência dos ataque de ransomware conhecido como WannaCry. Alguns pesquisadores já estão se referindo à CVE-2020-0796 como EternalDarkness.

Como se proteger?

A Microsoft divulgou recentemente um patch de atualização para corrigir a vulnerabilidade em questão. Portanto, recomenda-se que o KB4551762 seja instalado imediatamente.

Caso não seja possível de imediato, o suporte ao Windows definiu alguns processos para mitigar o risco:

1. Para desativar a compactação SMBv3 no servidor, utilize o seguinte comando (PowerShell):

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

2. Para desativar a compactação SMBv3 nos clientes, utilize o seguinte comando (PowerShell):

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force

3. Bloqueie a porta TCP 445 no firewall para a rede externa. Vale ressaltar que essa ação não impedirá ataques de dentro da rede local.

Atualmente há pouca informação disponível sobre essa nova falha, portanto, o tempo e o esforço necessários para produzir uma exploração viável permanecem desconhecidos. Como uma forma de mitigar o problema, os gestores dos sistemas podem alterar as chaves de registros dos servidores a fim de diminuir potenciais impactos ao seus ambientes.

Confira mais detalhes sobre o patch de segurança aqui.

Confira a notícia na íntegra aqui.