A Microsoft lançou uma atualização de emergência fora de banda KB4551762 bem a tempo de corrigir a vulnerabilidade no SMBv3 (CVE-2020-0796), que vazou como parte do Patch de março de 2020.
Em 10 de março, o Comunicado de Segurança ADV200005 foi lançado com atualizações do Patch Tuesday que revelavam detalhes sobre uma vulnerabilidade de execução remota de código na maneira como o Server Message Block 3.1.1 (SMBv3) lida com conexões que usam compactação. Apesar da Patch Tuesday ter marcado a maior terça-feira de patch de todos os tempos, com 115 CVEs enormes resolvidos, o CVE-2020-0796 criou muita confusão entre as comunidades de segurança.
Conforme declarado no ADV200005 , “Para explorar o CVE-2020-0796 contra um servidor SMB, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 de destino. Para explorar um cliente SMB, um invasor não autenticado precisará configurar um servidor SMBv3 mal-intencionado e convencer um usuário a se conectar a ele. ”
A natureza desagradável do CVE-2020-0796 é uma reminiscência da EternalBlue, uma vulnerabilidade de execução remota de código (RCE) no SMBv1, que foi o principal vetor do desastroso WannaCry. Essa comparação criou tanto medo que poderia ser armada para lançar uma nova onda de WannaCry e NotPetya, que os pesquisadores até se referem a ela como EternalDarkness, nos moldes do EternalBlue.
Um dia antes do lançamento do patch, a empresa de segurança cibernética Kryptos Logic compartilhou no Twitter uma demonstração básica de PoC (prova de conceito de negação de serviço) aproveitando o CVE-2020-0796. A Kryptos Logic também anunciou que identificou cerca de 48.000 hosts vulneráveis na Internet que tinham a porta SMB exposta e esses hosts provavelmente seriam vítimas de possíveis ataques usando o EternalDarkness. Como as explorações de PoC já foram desenvolvidas, é hora de você enviar o KB4551762 aos seus sistemas vulneráveis.
Se você tiver dificuldade para aplicar o KB4551762, a Microsoft recomenda medidas de mitigação para servidores SMB neste comunicado de segurança .
Combater o EternalDarkness e outras vulnerabilidades críticas são uma peça fácil com nossa solução de gerenciamento de ameaças e vulnerabilidades orientada a priorização, Vulnerability Manager Plus.
O Vulnerability Manager Plus fornece uma guia dedicada de “vulnerabilidades de dia zero” para fornecer visibilidade direcionada sobre quaisquer vulnerabilidades de dia zero, bem como vulnerabilidades divulgadas publicamente e outras vulnerabilidades críticas que podem ser exploradas facilmente.
Nesse módulo, você pode corrigir facilmente o CVE-2020-0796, pois os patches são automaticamente correlacionados com antecedência. Além disso, permite testar as atualizações em um grupo piloto antes de implementá-las nas máquinas de produção.
É fundamental que você execute o teste de patches, principalmente porque as atualizações fora da banda resultaram em problemas no passado. Com um recurso robusto de configuração de segurança incorporado ao Vulnerability Manager Plus, você pode bloquear a porta TCP 445 nos terminais afetados, pois essa é a melhor defesa contra ataques worms relacionados a SMB.
O que você está esperando? Instale agora uma avaliação gratuita de 30 dias do Vulnerability Manager Plus para ficar protegido contra o EternalDarkness. Contando sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
){kind=link}