Удаленное исполнение кода в SMB v3: CVE-2020-0796

в 19:27, , рубрики: POC, smb, windows, информационная безопасность, уязвимости

Никогда такого не было, и вот опять.

Microsoft распространила информацию о наличии RCE-уязвимости в протоколе SMB версий 3.1.1 и выше. Уязвимости подвержены системы с Windows 10 1903 и выше, включая серверные издания.

По имеющейся на данный момент информации — уязвимости подвержены как SMBv3-клиенты, так и SMBv3-серверы. Эксплуатация уязвимости приводит к удаленному выполнению кода с правами локальной системы, что позволяет реализовать сценарии, аналогичные WannaCry EternalBlue.

Лечения на данный момент нет, однако Microsoft выпустила рекомендации:

1) До выхода патча необходимо отключить сжатие SMB 3.0 (powershell)

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

2) Для клиентов лечения нет, поэтому рекомендуется ограничить SMB-трафик доверенными сетями при помощи межсетевых экранов, в т.ч. встроенных в ОС.

На данный момент (11.03.2020, 22:00) отсутствует информация как о технических подробностях, так и о фактах эксплуатации данной уязвимости.

Автор: artemlight

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js