Фото: heather/FlickrПортал Microsoft MSRC сообщил, что уязвимость CVE-2020-0796 в протоколе сетевой коммуникации Microsoft Server Message Block 3.1.1 (SMBv3) делает возможным взлом компьютеров, которые находятся под управлением Windows 10 версии 1903, Windows Server версии 1903 (установка Server Core), Windows 10 версии 1909 и Windows Server версии 1909 (установка Server Core).
Кроме того, SMBv3 был представлен в Windows 8 и Windows Server 2012.
Уязвимость, как отмечается, позволяет взломать SMB-сервер и SMB-клиент. Чтобы использовать уязвимость в отношении сервера SMB, злоумышленник, не прошедший проверку подлинности, может отправить специально созданный пакет на целевой сервер SMBv3. Чтобы использовать уязвимость в SMB-клиенте, злоумышленнику, не прошедшему проверку подлинности, необходимо настроить вредоносный сервер SMBv3 и убедить пользователя подключиться к нему. Используя уязвимость, хакеры могут создавать червей и заражать группы компьютеров в локальной сети от одного к другому. Код эксплойта не опубликован.
В качестве временной меры специалисты называют отключение компрессии для протокола SMB и блокировка доступа к порту TCP 445 из интернета с помощью файрвола.
Накануне Microsoft выпустила ежемесячное обновление безопасности. В нем устранены 115 уязвимостей, что стало рекордом для компании. Также исправлено 26 критических дыр в безопасности, в том числе та, которая позволяла получать несанкционированный доступ к компьютеру через файл с расширением LNK. Однако патч для CVE-2020-0796 в обновление не вошел.
Между тем пользователи выдвигают свои собственные теории относительно вредоносного ПО и его серьезности, а некоторые сравнивают его с EternalBlue, NotPetya, WannaCry или MS17-010 (1, 2). Другие уже начали придумывать названия для уязвимости, такие как SMBGhost, DeepBlue 3: Redmond Drift, Bluesday, CoronaBlue и NexternalBlue.
В начале февраля команда Microsoft Exchange Team вновь напомнила системным администраторам о необходимости отключения тридцатилетнего протокола SMBv1 на серверах Exchange 2013/2016/2019 в Windows Server 2008 R2, Windows Server 2012 и выше.«Чтобы обеспечить лучшую защиту вашей организации Exchange от новейших угроз (например, от вредоносных программ Emotet, TrickBot или WannaCry), мы рекомендуем отключить SMBv1, если он включен на вашем сервере Exchange (2013/2016/2019), так как вы теряете ключевые средства защиты, предлагаемые более поздними версиями SMB-протокола», — заявили они. Подобные напоминания корпорация выпускает с 2016 года.
См. также: «Microsoft будет рассылать обновления драйверов для Windows 10 поэтапно
