CYBER SECURITY • CYBER THREAT INTELLIGENCE • PENETRATION TEST

Nova vulnerabilidade crítica de execução remota de código afeta diversas versões do Windows

SMB V3

No dia 10 de março de 2020, a Microsoft publicou o ADV200005 , um aviso para uma vulnerabilidade crítica do RCE no Microsoft Server Message Block 3.1.1 (SMBv3). Detalhes sobre essa vulnerabilidade foram originalmente divulgadas acidentalmente no blog de outro fornecedor de segurança da Microsoft Patch Tuesday de março. Logo após a publicação de seu blog, o fornecedor removeu a referência à vulnerabilidade, mas os pesquisadores de segurança já aproveitaram sua divulgação acidental.

A Microsoft finalmente reconheceu a vulnerabilidade publicamente e publicou seu comunicado.

Análise

A Microsoft não atribuiu um identificador CVE para esta vulnerabilidade no ADV200005. No entanto, a divulgação acidental da vulnerabilidade a identificou como CVE-2020-0796 .

Segundo a Microsoft, a vulnerabilidade existe na maneira como o SMBv3 lida com determinadas solicitações. Para o servidor SMBv3, um invasor não autenticado pode explorar essa vulnerabilidade enviando um pacote especialmente criado para um servidor SMBv3 vulnerável. Para o cliente SMBv3, um invasor precisa convencer um usuário a se conectar a um servidor SMBv3 mal-intencionado que configurou.

A exploração bem-sucedida da vulnerabilidade garantiria ao invasor a execução arbitrária de código no SMB Server e no SMB Client.

Com base em uma regra do sistema de prevenção de intrusões (IPS) lançada pelo FortiGuard Labs , a falha parece resultar de uma vulnerabilidade de estouro de buffer, que ocorre devido a um erro no manuseio de pacotes de dados compactados.

Esta vulnerabilidade mais recente evoca memórias do EternalBlue, principalmente o CVE-2017-0144 , uma vulnerabilidade RCE no Microsoft SMBv1 que foi usada como parte dos ataques de ransomware WannaCry . Certamente é uma comparação adequada, tanto que os pesquisadores estão se referindo a ela como EternalDarkness. No entanto, atualmente há pouca informação disponível sobre essa nova falha, e o tempo e o esforço necessários para produzir uma exploração viável são desconhecidos.

Solução

As seguintes versões do Microsoft Windows e Windows Server são afetadas.

ProdutosVersão
Windows ServerVersão 1903 (instalação principal do servidor)
Windows ServerVersão 1909 (instalação principal do servidor)
Windows 10Versão 1903 para sistemas de 32 bits
Windows 10Versão 1903 para sistemas baseados em ARM64
Windows 10Versão 1903 para sistemas baseados em x64
Windows 10Versão 1909 para sistemas de 32 bits
Windows 10Versão 1909 para sistemas baseados em ARM64
Windows 10Versão 1909 para sistemas baseados em x64

Atualmente, não há patch para esta vulnerabilidade. No entanto, a Microsoft forneceu instruções alternativas como parte de seu aviso de segurança . Essas instruções alternativas incluem um comando do PowerShell que desativa a compactação do servidor SMBv3 para impedir que os invasores explorem a vulnerabilidade.

Nós da SEC17 identificamos através de nosso teste de intrusão se seu ambiente está vulnerável e auxiliamos sua empresa na correção.

Author: Alan Sanches

Alan Sanches é consultor em Segurança da Informação e possui mais de 22 anos de experiência na área de Infraestrutura de TI e Segurança Cibernética. Ministra treinamentos e palestras sobre Segurança Ofensiva, Defensiva, Ética Hacker e Técnicas de Intrusão nos maiores eventos de Tecnologia do Brasil como: Campus Party, LatinoWare, FLISOL, RoadSec, Mind the Sec, Hacking Day e FISL. É Tecnólogo em Redes de Computadores e possui 3 Pós-Graduações: Inteligência Estratégica, Master Business Information Security e Neurociência & Comportamento Humano.