CVE-2020-0796 Vulnerabilidade Sistemas Windows (SMBv3)

Thursday, March 12, 2020

Caro Cliente,

Foi divulgada, pela Microsoft, a existência de uma vulnerabilidade ao nível do serviço de partilha de ficheiros (SMBv3), com o potencial para um ator malicioso de obter controle remoto dos equipamentos, com privilégios de administração.

Este tipo de vulnerabilidade é, tipicamente, utilizado para disseminar malware em redes locais e globais (à semelhança do WannaCry), tendo um nível de severidade crítico.

Sistemas Afetados:

Windows 10 (1903 e 1909)
Windows Server (1903 e 1909)
Outros sistemas Windows ainda por identificar

Impacto:

Compromisso remoto, com privilégios de administração, de sistemas Windows a correr o serviço SMBv3 com a opção de compressão ativada.
Compromisso remoto, potencialmente com privilégios de administração, de sistemas Windows que acedam por SMBv3, a servidores maliciosos.

Mitigação:

Dado não existir, à data, correção para a vulnerabilidade, recomenda-se efetuar as seguintes mitigações:

Nos servidores deverá ser desativada a compressão no serviço SMBv3 seguindo as instruções existentes no ADV200005 emitido pela Microsoft.
Relativamente aos clientes, para além da mesma desativação, devem ser adotadas medidas para impedir a ligação a servidores remotos com potencial malicioso (exemplo: bloquear o protocolo SMB de/para a Internet).

A We Provide encontra-se a aplicar estas medidas na sua infraestrutura e sistemas, assim como nos sistemas geridos de clientes.

Recomendações:

Até ao surgimento da solução do fabricante devem ser aplicadas as mitigações indicadas.

Prevê-se que, num curto espaço de tempo, sejam usados outros vetores (exº: e-mail, websites maliciosos, downloads, …) que, em combinação com esta vulnerabilidade, possam causar infeções locais e a propagação lateral da infeção usando a referida.

Os utilizadores devem ser relembrados que não devem abrir anexos ou carregar em links em emails cuja origem não esteja devidamente validada. Da mesma forma deverão reportar qualquer situação anómala, evitando assim uma potencial propagação na sua fase inicial.

Referências:

https://securityaffairs.co/wordpress/99340/hacking/cve-2020-0796-smb-flaw.html
https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

« Voltar