CVE-2020-0796 | Vulnerabilità in Microsoft SMBv3
Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota (RCE) nel modo in cui il protocollo Microsoft Server Message Block 3.1.1 (SMBv3) gestisce determinate richieste. Un utente malintenzionato che sfrutta con successo la vulnerabilità potrebbe ottenere i diritti di eseguire codice sul server o client di destinazione.
Per sfruttare la vulnerabilità nei confronti di un server, un utente malintenzionato non autenticato dovrebbe inviare un pacchetto volutamente preparato ad un server SMBv3. Per sfruttare la vulnerabilità nei confronti di un client, un utente malintenzionato non autenticato dovrebbe configurare un server SMBv3 malevolo e indurre un utente a connettersi ad esso.
L’aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui il protocollo SMBv3 gestisce queste richieste opportunamente preparate.
Come già successo nel 2017 con la versione 1 del Server Message Block (SMBv1) contenente una vulnerabilità che poteva essere sfruttata mediante il famigerato exploit EternalBlue, anche la nuova versione SMBv3 contiene una vulnerabilità RCE (Remote Code Execution) di tipo wormable che, se sfruttata con successo, potrebbe consentire ad un malware di propagarsi autonomamente da un computer all’altro di una rete locale senza l’interazione dell’utente e senza utilizzare alcun vettore di attacco.
Al momento, la vulnerabilità interessa solo le seguenti versioni di Windows:
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows Server, version 1909 (Server Core installation)
Nel caso non possiate installare la patch rilanciata da Microsoft e scaricabile a questo link potete mitigare il rischio di un attacco con le seguenti attività
- Disabilitare SMBv3 tramite il seguente comando PowerShell (da eseguire in un’unica linea):
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”
DisableCompression -Type DWORD -Value 1 -Force - Bloccare la porta TCP 445 sui firewall perimetrali. Questo può essere d’aiuto per proteggere le reti dagli attacchi che hanno origine al di fuori del perimetro aziendale.
Effettuando una query su Shodan, relativamente all’esposizione della porta 445, al momento risultano censite 1.367. 004 macchine sparse nel mondo, di cui 19.644 localizzate in Italia.
Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub