Surgiram notícias da vulnerabilidade RCE no Windows 10 e nos sistemas operacionais Windows Server, a CVE-2020-0796 afeta o protocolo SMBv3 (Microsoft Server Message Block 3.1.1). Segundo a Microsoft, um hacker pode explorar esta vulnerabilidade para executar códigos no lado do servidor ou cliente SMB. Para atacar o servidor, pode-se simplesmente enviar um pacote especialmente criado. Quanto ao cliente, os criminosos precisam configurar um servidor SMBv3 malicioso e convencer o usuário a se conectar.
Especialistas em cibersegurança acreditam que a vulnerabilidade pode ser usada para carregar um worm semelhante ao WannaCry. A Microsoft considera a vulnerabilidade como crítica, então você deve consertá-la o quanto antes.
Quem está em perigo?
SMB é um protocolo de rede para acesso remoto a arquivos, impressoras e outros recursos de rede. É usado para implementar os recursos de rede do Microsoft Windows e compartilhamento de arquivos e impressoras. Se sua empresa usa essas funcionalidades, há motivos para se preocupar.
O Microsoft Server Message Block 3.1.1 é um protocolo relativamente recente, usado apenas em novos sistemas operacionais:
- Windows 10, versão 1903 para sistemas de 32 bits.
- Windows 10, versão 1903 para sistemas baseados em ARM64.
- Windows 10, versão 1903 para sistemas baseados em x64.
- Windows 10, versão 1909 para sistemas de 32 bits.
- Windows 10, versão 1909 para sistemas baseados em ARM64.
- Windows 10, versão 1909 para sistemas baseados em x64.
- Windows Server, versão 1903 (instalação de Server Core).
- Windows Server, versão 1909 (instalação de Server Core).
A vulnerabilidade não afeta Windows 7, 8, 8.1 ou versões anteriores. No entanto, os computadores mais novos com instalação automática de atualização executam o Windows 10; é provável que muitos computadores, tanto domésticos quanto corporativos, sejam vulneráveis.
Os criminosos estão explorando o CVE-2020-0796?
Segundo a Microsoft, os invasores ainda não exploraram a vulnerabilidade CVE-2020-0796, ou pelo menos ninguém detectou ataques deste tipo.
O que pode ser feito?
A Microsoft lançou uma atualização de segurança para esta vulnerabilidade. Você pode fazer o download aqui.
Outra opção é consertar manualmente:
Para servidores SMB:
A exploração da vulnerabilidade pode ser bloqueada com o comando PowerShell:
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 –Force
Para clientes SMB:
Como no WannaCry, a Microsoft sugere bloquear a porta TPC 445 no firewall da empresa.
Além disso, certifique-se de usar uma solução de segurança confiável que um subsistema de prevenção de exploração que protege computadores, mesmo contra vulnerabilidades desconhecidas. A Convectiva tem essa solução, entre em contato com um consultor agora mesmo.
