Surgiram notícias da vulnerabilidade RCE no Windows 10 e nos sistemas operacionais Windows Server, a CVE-2020-0796 afeta o protocolo SMBv3 (Microsoft Server Message Block 3.1.1). Segundo a Microsoft, um hacker pode explorar esta vulnerabilidade para executar códigos arbitrários no lado do servidor ou cliente SMB. Para atacar o servidor, pode-se simplesmente enviar um pacote especialmente criado. Quanto ao cliente, os atacantes precisam configurar um servidor SMBv3 malicioso e convencer o usuário a se conectar.
Especialistas em cibersegurança acreditam que a vulnerabilidade pode ser usada para lançar um worm semelhante ao WannaCry. A Microsoft considera a vulnerabilidade como crítica, então você deve consertá-la o quanto antes.
Quem está em perigo?
SMB é um protocolo de rede para acesso remoto a arquivos, impressoras e outros recursos de rede. É usado para implementar os recursos de rede do Microsoft Windows e compartilhamento de arquivos e impressoras. Se sua empresa usa essas funcionalidades, há motivos para se preocupar.
O Microsoft Server Message Block 3.1.1 é um protocolo relativamente recente, usado apenas em novos sistemas operacionais:
- Windows 10, versão 1903 para sistemas de 32 bits.
- Windows 10, versão 1903 para sistemas baseados em ARM64.
- Windows 10, versão 1903 para sistemas baseados em x64.
- Windows 10, versão 1909 para sistemas de 32 bits.
- Windows 10, versão 1909 para sistemas baseados em ARM64.
- Windows 10, versão 1909 para sistemas baseados em x64.
- Windows Server, versão 1903 (instalação de Server Core).
- Windows Server, versão 1909 (instalação de Server Core).
A vulnerabilidade não afeta Windows 7, 8, 8.1 ou versões anteriores. No entanto, os computadores mais novos com instalação automática de atualização executam o Windows 10; é provável que muitos computadores, tanto domésticos quanto corporativos, sejam vulneráveis.
Os atacantes estão explorando o CVE-2020-0796?
Segundo a Microsoft, os invasores ainda não exploraram a vulnerabilidade CVE-2020-0796, ou pelo menos ninguém detectou ataques deste tipo. Mas o problema é que ainda não há patch. Enquanto isso, as informações sobre essa vulnerabilidade são divulgadas publicamente desde 10 de março, por isso exploits podem aparecer a qualquer momento, caso ainda não existam.
O que pode ser feito?
Atualizado em 12 de março: A Microsoft lançou uma atualização de segurança para esta vulnerabilidade. Você pode fazer o download aqui.
Uma opção é consertar manualmente:
Para servidores SMB:
- A exploração da vulnerabilidade pode ser bloqueada com o comando PowerShell:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
Para clientes SMB:
- Como no WannaCry, a Microsoft sugere bloquear a porta TPC 445 no firewall de perímetro da empresa.
Além disso, certifique-se de usar uma solução de segurança confiável como o Kaspersky Endpoint Security for Business. Entre outras tecnologias, ele usa um subsistema de prevenção de exploração que protege computadores, mesmo contra vulnerabilidades desconhecidas.