11 March

Удаленное исполнение кода в SMB v3: CVE-2020-0796

Information Security
Никогда такого не было, и вот опять.

Microsoft распространила информацию о наличии RCE-уязвимости в протоколе SMB версий 3.1.1 и выше. Уязвимости подвержены системы с Windows 10 1903 и выше, включая серверные издания.

По имеющейся на данный момент информации — уязвимости подвержены как SMBv3-клиенты, так и SMBv3-серверы. Эксплуатация уязвимости приводит к удаленному выполнению кода с правами локальной системы, что позволяет реализовать сценарии, аналогичные WannaCry \ EternalBlue.

Лечения на данный момент нет, однако Microsoft выпустила рекомендации:

1) До выхода патча необходимо отключить сжатие SMB 3.0 (powershell)

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

2) Для клиентов лечения нет, поэтому рекомендуется ограничить SMB-трафик доверенными сетями при помощи межсетевых экранов, в т.ч. встроенных в ОС.

На данный момент (11.03.2020, 22:00) отсутствует информация как о технических подробностях, так и о фактах эксплуатации данной уязвимости.
Tags:WindowsуязвимостиPoCSMB
Hubs: Information Security
+13
9.5k 48
Comments 8