RCE Kwetsbaarheid in Microsoft server Message Block SMBv3
CVE-2020-0796
Bronnen
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
https://support.microsoft.com/en-us/help/4551762/windows-10-update-kb4551762
https://twitter.com/msftsecresponse/status/1237515046390882304?s=20
https://fr.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block?tns_redirect=true
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-0796
https://powershellexplained.com/2020-03-10-Powershell-disable-smb3-compression/
Risico’s
Door te verbinden met een kwetsbare Windows machine die SMBv3 gebruikt of door een kwetsbaar Windows systeem een clientverbinding te laten maken met een SMBv3 server, kan een ongeauthenticeerde aanvaller vanop afstand code uitvoeren als SYSTEM user.
Beschrijving
Microsoft Server Message Block 2.1.1 (SMBv3) bevat een kwetsbaarheid waarbij de manier waarop verbindingen die compressie gebruiken, misbruikt kunnen worden door een ongeauthenticeerde aanvaller vanop afstand. Deze aanvaller kan via de CVE-2020-0796 kwetsbaarheid code uitvoeren op een kwetsbaar systeem en kan hier ook een worm van maken die zichzelf verder verspreidt.
UPDATE: Microsoft heeft op 12 maart een een patch uitgebracht, genaamd KB4551762, om deze kwetsbaarheid te verhelpen. Er is een workaround beschikbaar indien u de patch niet meteen kan installeren.
UPDATE: Op 31 maart, werd een PoC uitgebracht door de onderzoekers García Gutiérrez (@danigargu) en Manuel Blanco Parajón (@dialluvioso_), die hier beschikbaar zijn : https://github.com/danigargu/CVE-2020-0796
Workarounds
SMBv3 compressie uitschakelen
U kunt compressie uitschakelen om een ongeauthenticeerde aanvaller te blokkeren. Zo kan deze aanvaller de kwetsbaarheid niet misbruiken op een SMBv3 server en dit kunt u mogelijk maken door onderstaand PowerShell commando uit te voeren:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Notes :
- U hoeft het systeem niet te herstarten na het uitvoeren van dit commando.
- Deze workaround houdt het misbruik van SMB clients niet tegen.
Blokkeer binnenkomende en uitgaande SMB verbindingen
Overweeg om uitgaande SMB-verbindingen (TCP-poort 445 voor SMBv3) van het lokale netwerk naar het internet te blokkeren. Zorg er ook voor dat SMB-verbindingen vanaf het internet geen inkomende verbinding mogen maken met uw bedrijfsnetwerk.
Aanbevolen acties
Microsoft heeft een advies uitgebracht voor deze kwetsbaarheid. CERT.be raadt aan om de patch zo snel mogelijk te installeren!
Indien u de patch niet meteen kan installeren, gelieve de workaround zo snel mogelijk toe te passen! De workarounds worden ook verder toegelicht op deze blog.