Uma vulnerabilidade no protocolo de comunicações de rede Server Message Block 3.0 (SMBv3) pode permitir a execução remota de código sem a necessidade de autenticação, a exploração dessa vulnerabilidade poderia criar malwares com a capacidade de movimentação lateral na rede infectada, comprometendo os dispositivos conectados a ela.
A falha acontece quando o SMBv3 interpreta dados maliciosos compactados que permitem que atacantes não autenticados executem códigos arbitrários nas aplicações que utilizam o protocolo. A Microsoft comunicou oficialmente que já conhece a falha dizendo “estar ciente da execução remota de código que pode ser explorada através da maneira como o protocolo SMBv3 processa tipos específicos de requisições e pacotes compactados”.
De acordo com a empresa, um atacante tem que configurar um servidor SMBv3 e convencer o usuário a se conectar para explorar a falha.
Os membros do Microsoft Active Protections Program, tiveram acesso antecipado às informações sobre a vulnerabilidade, registrada no CVE-2020-0796 e publicaram informações adicionais sobre possíveis explorações.
Desktops e servidores que rodam Windows 10 estão vulneráveis
Os dispositivos que rodam as versões 1903 do Windows 10 e Windows Server, além das versões 1909 dos dois sistemas estão vulneráveis ao ataque. No entanto, de acordo com um boletim da Fortinet, a maioria das versões do sistema podem também ser comprometidas já que o protocolo SMBv3 foi introduzido no Windows 8 e no Windows Server 2012 há alguns anos.
A exploração dessa falha pode permitir que o malware se movimente lateralmente na rede, facilitando a contaminação de vários dispositivos nos ambientes de TI. Alguns pesquisadores já estão comparando a severidade dessa nova falha ao EternalBlue, NotPetya, MS10-010 e até mesmo o WannaCry, já há alguns nomes para a vulnerabilidade como SMBGhost, DeepBlue3: Redmond Drift, Bluesday, CoronaBlue e NexternalBlue.
Como corrigir a falha?
Até que a Microsoft publique uma atualização de segurança que corrija o CVE-2020-0796, você pode realizar algumas ações de mitigação para proteger seus ambientes, indicadas pela própria empresa no boletim de segurança ADV200005: desabilitar a compressão de pacotes SMBv3 e bloquear a porta TCP 445 em dispositivos clientes e firewalls pode evitar as tentativas de exploração.
Para desabilitar a compressão, você deve executar o comando PowerShell abaixo:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
Além disso, a Microsoft indicar que você evite que tráfego SMB saia do ambiente corporativo seguindo esse guia de bloqueio de portas nos firewalls.
