Geüpdatet op 12 maart
Er is nieuws opgedoken over de CVE-2020-0796 RCE-kwetsbaarheid in de besturingssystemen Windows 10 en Windows Server, die het protocol Microsoft Server Message Block 3.1.1 (SMBv3) treft. Volgens Microsoft kan een aanvaller deze kwetsbaarheid benutten om een willekeurige code uit te voeren aan de kant van de SMB-server of SMB-client. Om de server aan te vallen kan men simpelweg een speciaal gecreëerd pakket naar diezelfde server versturen. Wat betreft de client moeten aanvallers een schadelijke SMBv3-server configureren en een gebruiker ervan overtuigen om hier verbinding mee te maken.
Cybersecurity-experts geloven dat de kwetsbaarheid kan worden gebruikt om een worm te lanceren die vergelijkbaar is met WannaCry. Microsoft noemt de kwetsbaarheid kritiek, dus deze moet zo snel mogelijk worden opgelost.
Wie loopt er gevaar?
SMB is een netwerkprotocol voor toegang op afstand tot bestanden, printers en andere netwerkbronnen. Het protocol wordt gebruikt om functies van het Microsoft Windows Network, bestanden en het delen van printers te implementeren. Als uw bedrijf deze functies gebruikt, moet u zich zorgen maken.
Microsoft Server Message Block 3.1.1 is een relatief nieuw protocol, en wordt alleen op nieuwe besturingssystemen gebruikt:
- Windows 10 Versie 1903 voor 32-bitsystemen
- Windows 10 Versie 1903 voor ARM64-gebaseerde systemen
- Windows 10 Versie 1903 voor x64-gebaseerde systemen
- Windows 10 Versie 1909 voor 32-bitsystemen
- Windows 10 Versie 1909 voor ARM64-gebaseerde systemen
- Windows 10 Versie 1909 voor x64-gebaseerde systemen
- Windows Server, versie 1903 (Server Core-installatie)
- Windows Server, versie 1909 (Server Core-installatie)
De kwetsbaarheid is niet van invloed op Windows 7, 8, 8.1 of oudere versies. Maar de meeste moderne computers met automatische installatie van updates draaien op Windows 10, dus het is zeer goed mogelijk dat veel computers, zowel thuis- als bedrijfscomputers, kwetsbaar zijn.
Maken aanvallers gebruik van CVE-2020-0796?
Volgens Microsoft, is de CVE-2020-0796-kwetsbaarheid nog niet voor aanvallen gebruikt. Zulke aanvallen zijn in ieder geval nog niet gezien. Maar het probleem is dat er nog geen patch bestaat voor CVE-2020-0796. Ondertussen is de informatie over de kwetsbaarheid al sinds 10 maart publiekelijk bekend, dus er kunnen op elk moment exploits verschijnen, als die er niet al zijn.
Wat moet u doen?
Update van 12 maart: Microsoft heft een beveiligingsupdate uitgegeven die deze kwetsbaarheid tegengaat. U kunt die hier downloaden.
Zonder beschikbare patch moet u de kwetsbaarheid afsluiten, en daar zijn tijdelijke oplossingen voor nodig. Microsoft biedt de volgende opties om de exploitatie van de kwetsbaarheid te blokkeren:
Voor SMB-servers:
- U kunt de exploitatie van de kwetsbaarheid blokkeren door een PowerShell-commando te gebruiken:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
Voor SMB-clients:
- Net als bij WannaCry raadt Microsoft aan om TCP-poort 445 te blokkeren bij de enterprise perimeter firewall.
Zorg er ook voor dat u een betrouwbaar beveiligingssysteem zoals Kaspersky Endpoint Security for Business gebruikt. Behalve andere technologieën maakt het gebruik van een preventie-subsysteem dat endpoints beschermt, zelfs tegen onbekende kwetsbaarheden.