Microsoft Server Message Block 2.1.1 (SMBv3) bevat een kwetsbaarheid waarbij de manier waarop verbindingen die compressie gebruiken, misbruikt kunnen worden door een ongeauthenticeerde aanvaller vanop afstand. Deze aanvaller kan via de CVE-2020-0796 kwetsbaarheid code uitvoeren op een kwetsbaar systeem en kan hier ook een worm van maken die zichzelf verder verspreidt.

UPDATE: Microsoft heeft op 12 maart een een patch uitgebracht, genaamd KB4551762, om deze kwetsbaarheid te verhelpen. Er is een workaround beschikbaar indien u de patch niet meteen kan installeren.

UPDATE: Op 31 maart, werd een PoC uitgebracht door de onderzoekers García Gutiérrez (@danigargu) en Manuel Blanco Parajón (@dialluvioso_), die hier beschikbaar zijn : https://github.com/danigargu/CVE-2020-0796

U kunt compressie uitschakelen om een ongeauthenticeerde aanvaller te blokkeren. Zo kan deze aanvaller de kwetsbaarheid niet misbruiken op een SMBv3 server en dit kunt u mogelijk maken door onderstaand PowerShell commando uit te voeren:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Notes :

1. U hoeft het systeem niet te herstarten na het uitvoeren van dit commando.
2. Deze workaround houdt het misbruik van SMB clients niet tegen.

Blokkeer binnenkomende en uitgaande SMB verbindingen

Overweeg om uitgaande SMB-verbindingen (TCP-poort 445 voor SMBv3) van het lokale netwerk naar het internet te blokkeren. Zorg er ook voor dat SMB-verbindingen vanaf het internet geen inkomende verbinding mogen maken met uw bedrijfsnetwerk.