CVE-2020-0796: Nova vulnerabilidade no protocolo SMB

A Microsoft lançou uma patch para a vulnerabilidade crítica recém-descoberta CVE-2020-0796 no protocolo de rede SMB 3.1.1.

Surgiram notícias da vulnerabilidade RCE no Windows 10 e nos sistemas operacionais Windows Server, a CVE-2020-0796 afeta o protocolo SMBv3 (Microsoft Server Message Block 3.1.1). Segundo a Microsoft, um hacker pode explorar esta vulnerabilidade para executar códigos arbitrários no lado do servidor ou cliente SMB. Para atacar o servidor, pode-se simplesmente enviar um pacote especialmente criado. Quanto ao cliente, os atacantes precisam configurar um servidor SMBv3 malicioso e convencer o usuário a se conectar.

Especialistas em cibersegurança acreditam que a vulnerabilidade pode ser usada para lançar um worm semelhante ao WannaCry. A Microsoft considera a vulnerabilidade como crítica, então você deve consertá-la o quanto antes.

Quem está em perigo?

SMB é um protocolo de rede para acesso remoto a arquivos, impressoras e outros recursos de rede. É usado para implementar os recursos de rede do Microsoft Windows e compartilhamento de arquivos e impressoras. Se sua empresa usa essas funcionalidades, há motivos para se preocupar.

O Microsoft Server Message Block 3.1.1 é um protocolo relativamente recente, usado apenas em novos sistemas operacionais:

  • Windows 10, versão 1903 para sistemas de 32 bits.
  • Windows 10, versão 1903 para sistemas baseados em ARM64.
  • Windows 10, versão 1903 para sistemas baseados em x64.
  • Windows 10, versão 1909 para sistemas de 32 bits.
  • Windows 10, versão 1909 para sistemas baseados em ARM64.
  • Windows 10, versão 1909 para sistemas baseados em x64.
  • Windows Server, versão 1903 (instalação de Server Core).
  • Windows Server, versão 1909 (instalação de Server Core).

A vulnerabilidade não afeta Windows 7, 8, 8.1 ou versões anteriores. No entanto, os computadores mais novos com instalação automática de atualização executam o Windows 10; é provável que muitos computadores, tanto domésticos quanto corporativos, sejam vulneráveis.

Os atacantes estão explorando o CVE-2020-0796?

Segundo a Microsoft, os invasores ainda não exploraram a vulnerabilidade CVE-2020-0796, ou pelo menos ninguém detectou ataques deste tipo. Mas o problema é que ainda não há patch. Enquanto isso, as informações sobre essa vulnerabilidade são divulgadas publicamente desde 10 de março, por isso exploits podem aparecer a qualquer momento, caso ainda não existam.

O que pode ser feito?

Atualizado em 12 de março: A Microsoft lançou uma atualização de segurança para esta vulnerabilidade. Você pode fazer o download aqui.

Uma opção é consertar manualmente:

Para servidores SMB:

  • A exploração da vulnerabilidade pode ser bloqueada com o comando PowerShell:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

Para clientes SMB:

  • Como no WannaCry, a Microsoft sugere bloquear a porta TPC 445 no firewall de perímetro da empresa.

Além disso, certifique-se de usar uma solução de segurança confiável como o Kaspersky Endpoint Security for Business. Entre outras tecnologias, ele usa um subsistema de prevenção de exploração que protege computadores, mesmo contra vulnerabilidades desconhecidas.

Dicas