2020 március 26

Szerző: marketing@mwtsolutions.eu

Kategória: Cikk

Microsoft a 2020-as Márciusi Patch Kedd eseményen kiadott egy sürgős frissítést KB4551762 , amely patch a sérülékeny SMBv3 (CVE-2020-0796) részhez tartozik.

 

Március 10.

 

Patch kedd frissítések kapcsán a Biztonsági tanács ADV200005 nyilatkozta, hogy a szerver üzenetküldő blokkjában 3.1.1 (SMBv3) egy távoli kód futtatáskor sérülékenységet észleltek, ahogy kezeli a tömörítési folyamatban a kapcsolatok kezelését. Ez a márciusi „Patch kedd” lesz a valaha legnagyobb ilyen esemény, amely ezzel a 115 CVE-s megoldással rengeteg figyelmet váltott ki a biztonsági témákban érintettek között.

 

Az ADV200005 közleményben szerepel:

 

Távoli kódfuttatással kapcsolatos biztonsági rés van abban, ahogy a Microsoft Server Message Block 3.1.1 (SMBv3) protokoll kezel bizonyos kéréseket. A biztonsági rést sikeresen kihasználó támadó megszerezheti a kód futtatásának lehetőségét a célkiszolgálón vagy a felhasználónál. A biztonsági rés kiszolgálóval történő kiaknázása érdekében egy nem hitelesített támadó egy speciálisan kialakított csomagot küldhet egy megcélzott SMBv3 kiszolgálónak. A biztonsági rés klienssel történő kihasználásához egy nem hitelesített támadónak konfigurálnia kell egy rosszindulatú SMBv3 szervert, és meg kell győznie a felhasználót, hogy csatlakozzon hozzá.

 

A biztonsági frissítés kijavítja a biztonsági rést azáltal, hogy kijavítja az SMBv3 protokoll kéréseinek kezelését.

A CVE-2020-0796 jellege miatt az EternalBlue-re, az SMBv1 távoli kódvégrehajtási (RCE) sebezhetőségére emlékeztet. Ez az hasonlóság annyira félelmet kelt, hogy indokolt lehet ismét a felkészülés a WannaCry és a NotPetya új hullámaira.

 

Egy nappal a patch kiadása előtt, Kryptos Logic Cybersecurity cég a Twitteren megosztotta a bizonyítási eljárásul alapjait (PoC), valamint demózta a CVE-2020-0796-t. Kryptos Logic hozzátette hogy azonosított közel 48.000 sérülékeny hostot a teljes interneten, amely SMB portokon érintett, és érheti őket egy EthernalDarkness támadás. Mivel a bizonyítás nyilvánossá vált, itt az ideje, hogy a KB4551762 fájlt a kiszolgáltatott rendszerekre implementálják.

 

Amennyiben nehézségekbe ütközne a KB4551762 patch alkalmazása, a Microsoft az SMB-kiszolgálókra vonatkozó biztonsági ajánlásokban egyéb intézkedéseket javasol.

 

Az EternalDarkness és más kritikus támadások persze könnyen kezelhetőek a Vulnerability Manager Plus megoldással. A Vulnerability Manager Plusnak köszönhetően ezek “azonnali sérülékenységi” kategóriaként megadják a támadásokat, a nulla napos (azonnali) biztonsági rések, valamint a nyilvánosan közzétett és egyéb, könnyen kihasználható kritikus biztonsági rések felett. Ebből a modulból könnyen kijavíthatjuk a CVE-2020-0796 szoftvert, mivel a javítások automatikusan korrelálnak korábban alkalmazottakhoz. Továbbá lehetőséget ad a tesztelésre „pilot” csoportokban is mielőtt azt élesben telepítenénk.  Rendkívül fontos, hogy végezzünk teszteléseket a javítás végleges alkalmazása előtt, különösen azért, mert out-of-band frissítések összefüggenek a múltban felmerülő eseményekkel. A Vulnerability Manager Plus robusztus biztonsági konfigurációs funkcióival akár blokkolhatja a 445-ös TCP-portot is az érintett végpontokon, mivel ez a legjobb védelem az SMB-vel kapcsolatos, átjárható támadások ellen.

 

Nem kell várakozni, 30-napos Vulnerability Manager Plus próbaverziót azonnal telepíthetjük, amely biztosan megvédi az teljes elsötétedéstől, „EternalDarkness”-től.

 

2020 március 26

Szerző: marketing@mwtsolutions.eu

Kategória: Cikk

Hírlevél. Legyen naprakész.

Kapcsolat

MWT SOLUTIONS SA1137

Budapest, Radnóti Miklós utca 2 New Work office RM2

Írjon nekünk: