A
Abraham54
Gast
Microsoft waarschuwt voor kritiek beveiligingslek in SMBv3
woensdag 11 maart 2020, 10:55 door Redactie, 4 reacties
Microsoft waarschuwt organisaties voor een kritiek beveiligingslek in SMBv3 waardoor een aanvaller op afstand
code op de SMB-server of SMB-client kan uitvoeren en een beveiligingsupdate is nog niet beschikbaar.
"Microsoft is bekend met een remote code execution-kwetsbaarheid in de manier waarop het Microsoft Server
Message Block 3.1.1 (SMBv3) protocol bepaalde verzoeken verwerkt", aldus een advisory van Microsoft.
Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en
seriële poorten. Door het versturen van een speciaal geprepareerd pakket naar een SMBv3-server kan een
aanvaller willekeurige code op de server kunnen uitvoeren.
De aanvaller hoeft hierbij niet over een wachtwoord te beschikken om op de server zelf in te kunnen inloggen.
Daarnaast is het mogelijk om SMB-clients over te nemen die verbinding met een kwaadaardige SMBv3-server maken.
Een aanvaller zou bijvoorbeeld eerst de server kunnen aanvallen en vervolgens alle clients die verbinding maken infecteren.
Volgens sommige berichten zou een worm zich via het lek kunnen verspreiden, zo laat het CERT Coordination
Center (CERT/CC) van de Carnegie Mellon Universiteit weten. De organisatie wijst naar een blogpost van Cisco over
de maandelijkse patchdinsdag van Microsoft waarin details over het beveiligingslek stonden vermeld.
Inmiddels is de blogpost aangepast en de verwijzing naar de kwetsbaarheid verwijderd. Een aantal uren na de
publicatie verscheen de advisory van Microsoft online.
Het CERT/CC stelt dat op dit moment geen praktische oplossing voorhanden is.
Als tijdelijke oplossing wordt aangeraden om SMBv3-compressie uit te schakelen. Tevens wordt aangeraden om
uitgaande SMB-verbindingen (TCP-poort 445 voor SMBv3) van het lokale netwerk naar het WAN te blokkeren.
Ook moeten SMB-verbindingen van het internet geen verbinding met het bedrijfsnetwerk kunnen maken.
Microsoft adviseert organisaties om beveiligingsupdates voor de kwetsbaarheid meteen te installeren zodra die
beschikbaar komen. Wanneer dit is, is nog onbekend.
Bron: