De nieuwste versies van Microsoft Windows 10 bevatten SMBv3-server en client RCE-beveiligingslek, hier zijn tijdelijke waarborgen

De nieuwste edities van Windows 10, namelijk v1903 en v1909, bevatten een kwetsbaarheid die kan worden misbruikt om misbruik te maken van het Server Message Block (SMB) -protocol. De SMBv3-servers en -clients kunnen met succes worden gecompromitteerd en worden gebruikt om willekeurige code uit te voeren. Wat nog zorgwekkender is, is het feit dat het beveiligingslek op afstand kan worden misbruikt met een paar eenvoudige methoden.

Microsoft heeft een nieuw beveiligingsprobleem erkend in het Microsoft Server Message Block 3.1.1 (SMB) -protocol. Het bedrijf lijkt de details eerder per ongeluk te hebben gelekt tijdens de Patch Tuesday-updates van deze week. De kwetsbaarheid kan op afstand worden misbruikt om code uit te voeren op een SMB-server of -client. In wezen is dit een zorgwekkende RCE-bug (Remote Code Execution).

Microsoft bevestigt beveiligingslek in de SMBv3:

In een gisteren gepubliceerd beveiligingsadvies legde Microsoft uit dat de kwetsbaarheid de versies 1903 en 1909 van Windows 10 en Windows Server treft. Het bedrijf wees er echter snel op dat de fout nog niet is uitgebuit. Overigens heeft het bedrijf naar verluidt de details gelekt over het beveiligingslek met de tag CVE-2020-0796. Maar daarbij publiceerde het bedrijf geen technische details. Microsoft bood alleen korte samenvattingen aan waarin de bug werd beschreven. Het oppakken van dezelfde, meerdere digitale beveiligingsproductbedrijven die deel uitmaken van het Active Protections Program van het bedrijf en vroeg toegang krijgen tot buginformatie, publiceerden de informatie.

Het is belangrijk op te merken dat de SMBv3-beveiligingsbug nog geen patch gereed heeft. Het is duidelijk dat Microsoft aanvankelijk van plan was om een ​​patch voor deze kwetsbaarheid uit te brengen, maar dat niet kon, en vervolgens niet slaagde om branchepartners en leveranciers bij te werken. Dit leidde tot de publicatie van de beveiligingslek die nog steeds in het wild kan worden misbruikt.

Hoe kunnen aanvallers misbruik maken van het beveiligingslek van SMBv3?

Hoewel details nog steeds in opkomst zijn, worden computersystemen met Windows 10 versie 1903, Windows Server v1903 (Server Core-installatie), Windows 10 v1909 en Windows Server v1909 (Server Core-installatie) getroffen. Het is echter vrij waarschijnlijk dat eerdere versies van Windows OS ook kwetsbaar kunnen zijn.

Microsoft verklaarde het basisconcept en het type van de SMBv3-beveiligingslek en merkte op: “Om misbruik te maken van de kwetsbaarheid tegen een SMB-server, zou een niet-geverifieerde aanvaller een speciaal vervaardigd pakket naar een gerichte SMBv3-server kunnen sturen. Om het beveiligingslek tegen een SMB-client te misbruiken, zou een niet-geverifieerde aanvaller een kwaadaardige SMBv3-server moeten configureren en een gebruiker moeten overtuigen om er verbinding mee te maken.”

Hoewel details een beetje schaars zijn, geven experts aan dat de SMBv3-bug externe aanvallers in staat zou kunnen stellen om de volledige controle over de kwetsbare systemen over te nemen. Bovendien kan het beveiligingsprobleem ook wormbaar zijn. Met andere woorden, aanvallers kunnen aanvallen via gecompromitteerde SMBv3-servers automatiseren en meerdere machines aanvallen.

Hoe kunt u Windows OS- en SMBv3-servers beschermen tegen nieuwe beveiligingsproblemen?

Mogelijk heeft Microsoft het bestaan ​​van een beveiligingsprobleem binnen SMBv3 erkend. Het bedrijf heeft echter geen patch aangeboden om hetzelfde te beschermen. Gebruikers kunnen SMBv3-compressie uitschakelen om te voorkomen dat aanvallers misbruik maken van het beveiligingslek tegen een SMB-server. De eenvoudige opdracht om uit te voeren in PowerShell is als volgt:

Om de tijdelijke bescherming tegen SMBv3-beveiligingslek ongedaan te maken, geeft u de volgende opdracht op:

Het is belangrijk op te merken dat de methode niet allesomvattend is en een aanvaller alleen maar zal vertragen of afschrikken. Microsoft raadt aan om de TCP-poort ‘445’ op firewalls en clientcomputers te blokkeren. “Dit kan netwerken helpen beschermen tegen aanvallen die van buiten de bedrijfsperimeter komen. Het blokkeren van de getroffen poorten aan de rand van de onderneming is de beste verdediging om aanvallen via internet te helpen voorkomen ”, adviseerde Microsoft.

Facebook Twitter Google Plus Pinterest
Aanbevolen
Lek suggereert, PS5 ondersteunt volledige bibliotheek met PlayStation-titels van de vorige generatie
Lek suggereert, PS5 ondersteunt volledige bibliotheek met PlayStation-titels van de vorige generatie
Chrome OS
Wat is het verschil tussen een proxy en een VPN?
Wat is het verschil tussen een proxy en een VPN?
Chrome OS
Verschillende OnePlus 8 Pro en sommige OnePlus 8-smartphones die last hebben van rare weergaveproblemen
Verschillende OnePlus 8 Pro en sommige OnePlus 8-smartphones die last hebben van rare weergaveproblemen
Appel
Hoe een ringtone toewijzen aan een specifieke contactpersoon op Android
Hoe een ringtone toewijzen aan een specifieke contactpersoon op Android
Android
Abonneren