Vulnerabilidade crítica no protocolo SMBv3 do Windows
 |
| Imagem: Geralt - Pixabay |
A Microsoft anunciou neste mês de março um patch de atualização (KB4551762) emergencial que corrige uma vulnerabilidade crítica no protocolo SMB 3.1.1 (v3). A exploração desta vulnerabilidade permite que um invasor não autenticado execute código remoto com privilégios SYSTEM no servidor SMB. A falha foi identificada como CVE-2020-0796 e apelidada por alguns pesquisadores de SMBGhost.
O Server Message Block (SMB), executado na porta TCP 445, é um protocolo de rede projetado para permitir o compartilhamento de arquivos, a navegação na rede, os serviços de impressão e a comunicação entre processos através da rede.
Assim como o WannaCry, NotPetya e ransomwares similares que infectaram milhares de computadores em 2016 e 2017, esta vulnerabilidade no SMB, ao ser explorada numa máquina contendo o sistema operacional com o protocolo vulnerável ativo, o malware pode se propagar automaticamente para outros computadores possuindo essa mesma vulnerabilidade, podendo então, criptografar os dados da máquina e extorquir a vítima solicitando um pagamento para que sejam resgatados esses dados roubados e criptografados.
“Para explorar a vulnerabilidade em um servidor, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 de destino. Para explorar a vulnerabilidade em um cliente, um invasor não autenticado precisa configurar um servidor SMBv3 mal-intencionado e convencer um usuário a se conectar ao servidor” — Tradução do comunicado da Microsoft.
A atualização de segurança contendo a correção está disponível para download no link:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
Sistemas Operacionais Afetados:
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
Para identificar as máquinas vulneráveis presentes na rede, você como analista pode executar o comando abaixo no Linux utilizando o software livre que realiza scan de segurança, Nmap:
nmap -p445 --script smb-protocols -Pn -n (X.X.X.X ou CIDR) | grep -P '\d+\.\d+\.\d+\.\d+|^\|.\s+3.11' | tr '\n' ' ' | replace 'Nmap scan report for' 'Host Vulneravel ' | tr "@" "\n" | grep 3.11 | tr '|' ' ' | tr '_' ' ' | replace '3.11' 'versao 3.11'
Ou se preferir, utilize um script NSE para o Nmap desenvolvido pelo time de pesquisadores de segurança, Claroty - disponível em: https://github.com/ClarotyICS/CVE2020-0796
Pesquisadores da empresa de segurança Kryptos Logic anunciaram um exploit prova de conceito para a vulnerabilidade no protocolo SMBv3. A mesma empresa em uma publicação no Twitter disse que já identificaram cerca de 48.000 hosts vulneráveis a CVE-2020-0796 em um scan na rede global de internet, portanto é questão de tempo até que atacantes explorem essa falha em ataques na rede.
A primeira medida a ser tomada antes da correção ser publicada pela fabricante foi a de desabilitar o serviço SMBv3 das máquinas e bloquear a porta TCP 445 no firewall, portanto, poderíamos descrever aqui os comandos e regras que podem ser criadas em seu sistema de detecção de intrusão (IDS/IPS) a fim de identificar e alertar qualquer tentativa de invasão em uma máquina vulnerável neste tipo de cenário, contudo, por recomendação da Microsoft a medida efetiva para mitigar esse tipo de falha é por meio da atualização dos patches de segurança em seu parque de máquinas Windows.
Com todo o histórico de vulnerabilidades no protocolo SMB, o que você tem feito para evitar que esses fantasmas assombrem a sua rede de computadores? Já aplicou as devidas correções ou somente aquele paliativo básico no firewall que bloqueia conexões externas no serviço vulnerável? Lembrando que o pior inimigo é aquele que já tem acesso a sua rede interna - Insider Attack - assunto para um próximo artigo aqui no Labs.
Referências:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
https://www.zdnet.com/article/microsoft-patches-smbv3-wormable-bug-that-leaked-earlier-this-week/
0 comentários: