Новости

Awesome Image
Awesome Image

В протоколе SMB 3.1.1 (SMBv3) обнаружена уязвимость удаленного выполнения кода (RCE-уязвимость) и присвоен идентификатор CVE-2020-0796 (на текущий момент технические детали уязвимости не опубликованы).


Уязвимость заключается в некорректном способе обработки соединений, использующих «сжатие», что позволяет злоумышленнику, не прошедшему проверку подлинности, отправить специально сформированный пакет на целевой сервер SMBv3 и выполнить произвольный код в уязвимой системе с привилегией «SYSTEM». Уязвимости подвержена как серверная, так и клиентская часть SMB.


Уязвимость находится в общем доступе с 10 марта. Патча от Microsoft еще нет.


Рекомендации по повышению уровня защищённости


1) Для временного решения проблемы на стороне SMB-сервера компания Microsoft рекомендует отключить функцию «сжатия» в протоколе SMBv3 с помощью команды PowerShell, приведенной ниже (после внесения изменений перезагрузка не требуется): Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Запуск PowerShell должен выполняться от имени администратора.

Данное решение не предотвращает эксплуатацию уязвимости на SMB-клиентах.


2) Так же крайне рекомендуется установить обновления для этой уязвимости, как только они станут доступны.


3) При наличии опубликованных сетевых ресурсов по протоколу SMB на внешнем периметре рекомендуем рассмотреть возможность их закрытия (заблокировать порт 445/TCP).


На текущий момент официально не было зарегистрировано случаев эксплуатации уязвимости. Как показывает история, днем Х могут быть ближайшие выходные.


Более подробное описание уязвимости и уязвимых систем в аналитической справке SOC-центра CyberART: 

Аналитическая справка по уязвимости_CyberART.pdf