Microsoft выпустила исправление для критической уязвимости в SMBv3

Компания Microsoft наконец-то выпустила исправление для недавно обнаруженной критической уязвимости в протоколе SMBv3. CVE-2020-0796 позволяет удаленно выполнить код с привилегиями системы и запускать «червеобразное» вредоносное ПО, способное автоматически распространяться от одного компьютера к другому.

Уязвимость затрагивает Windows 10 (версии 1903 и 1909), а также Windows Server (версии 1903 и 1909). Проблема возникает из-за того, как SMBv3 обрабатывает запросы с компрессированными заголовками. Компрессированные заголовки – функция, добавленная в SMBv3 в Windows 10 и Windows Server в мае 2019 года с целью уменьшения размера сообщений, которыми обмениваются сервер и клиент.

Как сообщается в уведомлении безопасности Microsoft, для осуществления атаки на SMBv3-сервер, неавторизованный злоумышленник может отправить ему особым образом сконфигурированный пакет. Для осуществления атаки на клиент, неавторизованный злоумышленник сначала должен настроить вредоносный SMBv3-сервер и заставить жертву подключиться к нему.

В настоящее время исправление для уязвимости (KB4551762) доступно на сайте Microsoft. До его выхода было известно о существовании только одного PoC-эксплоита, однако после того, как злоумышленники осуществят реверс-инжиниринг патча, их появится гораздо больше.

Сейчас через интернет доступно порядка 48 тыс. систем, уязвимых к CVE-2020-0796. Домашним и корпоративным пользователям настоятельно рекомендуется как можно скорее установить обновление. Если в ближайшее время это сделать невозможно, рекомендуется отключить функцию компрессии заголовков и заблокировать SMB-порт для входящего и исходящего соединения.