Vulnerabilidade no SMBv3
O CERT.Bahia alerta sobre vulnerabilidade crítica no SMBv3.
Descrição
O problema acontece em conexões que utilizam compressão, permitindo que usuários maliciosos não autenticados executem códigos remotamente, tanto no servidor como no cliente.
Dessa forma, a vulnerabilidade é categorizada como CVSS Base 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C).
Sistemas Afetados
A vulnerabilidade foi inserida em uma feature recente no SMBv3.1.1, afetando os seguintes sistemas:
- Windows 10 Version 1903
- Windows 10 Version 1909
- Windows Server Version 1903
- Windows Server Version 1909
Versões anteriores não são afetadas por essa vulnerabilidade.
Teste
Pode ser verificado se seu sistema utiliza SMBv3 com auxílio do NMAP:
nmap -Pn -n -p445 --script smb-protocols <IP>
Detecção da Compressão
Em [0] está disponível script em Python para teste se a feature de compressão está habilitada em seu sistema.
Soluções
Já há patches de soluções para essa vulnerabilidade, disponível em [1].
Soluções Paliativas
Algumas soluções paliativas também são possíveis:
Desabilite a compressão SMBv3
De acordo com [1] pode ser desabilitado a compressão no SMBv3 com o seguinte comando PowerShell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Pontos importantes:
- Não é necessário reboot
- Essa solução paliativa não previne contra explorações do cliente
Bloqueie conexões SMBv3 à sua rede
Pode ser feito o bloqueio das conexões SMBv3 com origem e destino à Internet.
Em [2] pode ser consultado o guia da Microsoft de prevenção a esse tipo de conexão no SMB.
Entretanto isso não previne contra explorações dentro da rede interna.
Monitoramento
Em [3] estão disponíveis regras para Snort que detectam uso de comunicação SMB com compressão.