Wrzucając wczoraj informacje związane z Patch Tuesday, Microsoft prawdopodobnie przez przypadek ujawnił obecność podatności w protokole SMBv3. Oznaczona jako CVE-2020-0796 podatność występuje w Windows 10 v1903, Windows10 v1909, Windows Server v1903 i Windows Server v1909. Możliwe, że gigant planował dodać łatkę do aktualizacji zbiorczych, ale wycofał ją w ostatniej chwili. Niestety, zapomniał usunąć też informacji, dlatego luka pozostaje narażona na atak exploitem.
Podatność, określana mianem Buffer Overflow Vulnerability in Microsoft SMB Servers, otrzymała maksymalną ocenę dotkliwości. Jak podaje Fortinet, staje się ona aktywna, gdy podatne oprogramowanie otrzyma złośliwie spreparowany, skompresowany pakiet danych. Nieautoryzowany atakujący może ją wykorzystać, by zdalnie wykonać arbitralny kod w kontekście tej aplikacji. Lukę opisał też Cisco Talos, podając, że atak exploitem na tę podatność otwiera system na typowy dla robaka ["wormable"] atak, co oznacza, że może być przenoszony z ofiary na ofiarę.
Most likely a bug that they expected to patch but didn't.
— Catalin Cimpanu (@campuscodi) March 10, 2020
They probably forgot to remove it from the Microsoft API serving Patch Tuesday details, so now every cybersecurity firm scraping that API has listed the bug in its advisories.
The API's down now, btw pic.twitter.com/9wruB0okbz
Mimo że podatność istnieje, to nie jest powszechnie znany sposób na jej wykorzystanie. Microsoft ani badacze zabezpieczeń nie podali aż tak szczegółowych informacji. Na atak nie są też narażeni użytkownicy systemu w wersjach starszych niż May 2019 Update, jako że nie obsługują one najnowszej wersji protokołu SMB. Wciąż natomiast nie ma pewności, jak doszło do przecieku o tak krytycznej podatności, w dodatku popełnionego przez sam Microsoft. Gigant odmówił komentarza na ten temat. Hipotetycznie miały w tym udział Common Vulnerability Reporting Framework (CVRF) oraz Microsoft Active Protections Program (MAPP). Odnosi się to do sposobów, w jaki Microsoft dzieli się szczegółami o nadchodzących łatkach z zaufanymi partnerami, takimi jak dostawcy oprogramowania chroniącego i sprzętu. Gigant mógł im udostępnić nowe listy, a następnie usunąć jedną podatność. Partnerzy zdążyli w międzyczasie zaktualizować własne porady dotyczące bezpieczeństwa.
Informacje na temat CVE-2020-0796 zostały też przez przypadek udostępnione za pośrednictwem Microsoft API, z którego wydobywają informacje dostawcy antywirusów, administratorzy i dziennikarze praktycznie natychmiast po wydaniu aktualizacji w Patch Tuesday. Tak czy inaczej teraz pozostaje czekać na stosowną łatkę i... słowa wyjaśnienia ze strony Microsoftu. Cisco Talos zaleca w tym czasie wyłączenie kompresji SMBv3 i zablokowanie portu 445 w firewallu i na komputerach klienckich.