Бесплатно Экспресс-аудит сайта:

12.03.2020

В Сеть утекли данные о новой червеобразной уязвимости в SMB (Обновлено)

В преддверии мартовского «вторника исправлений» компании Microsoft в Сеть утекли данные о новой червеобразной уязвимости в протоколе Microsoft Server Message Block (SMB). Технические подробности не раскрываются, однако в блогах ИБ-компаний Cisco Talos и Fortinet было опубликовано короткое описание.

Исправление для новой уязвимости, получившей идентификатор CVE-2020-0796, не включено в мартовский набор обновлений безопасности Microsoft. Когда уязвимость будет исправлена, на данный момент неизвестно.

Как сообщают специалисты Fortinet, проблема представляет собой уязвимость переполнения буфера в SMB-серверах Microsoft и связана с ошибкой, возникающей при обработке уязвимым ПО сжатого пакета вредоносных данных. С ее помощью неавторизованный злоумышленник может удаленно выполнить произвольный код в контексте приложения.

Исследователи из Cisco Talos опубликовали похожее описание уязвимости, но затем удалили его. По их словам, «эксплуатация уязвимости делает системы уязвимыми к червеобразной атаке, способной с легкостью переходить от одного пользователя к другому».

Поскольку червеобразные уязвимости в SMB уже использовались в нашумевших атаках WannaCry и NotPetya в 2017 году, новость об очередной подобной проблеме отнюдь не обрадует системных администраторов. Однако, в отличие от 2017 года, на этот раз в Сеть утекло только краткое описание уязвимости, а не код эксплоита. Кроме того, уязвимость затрагивает не все версии Windows.

По данным Fortinet, уязвимости подвержена только версия протокола SMBv3, используемая в последних сборках Windows 10: Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909.

Как уже упоминалось выше, уязвимость не была исправлена с выходом ежемесячных обновлений безопасности Microsoft во вторник, 10 марта. Зато компания исправила другие 115 уязвимостей – рекордное количество за всю ее историю.

26 исправленных уязвимостей отмечены как критические. Наибольший интерес у авторов вредоносного ПО вызовет уязвимость в файлах LNK, получившая идентификатор CVE-2020-0684 . Уязвимость возникает при обработке операционной системой вредоносного файла LNK и позволяет злоумышленникам удаленно выполнить на системе произвольный код.

Обновление. Компания Microsoft опубликовала предупреждение с кратким описанием CVE-2020-0796 и мерами по предупреждению ее эксплуатации (сроки выпуска патча не указаны).