Detalhes sobre uma nova vulnerabilidade “wormable” no protocolo SMB (Microsoft Server Message Block) vazaram acidentalmente online hoje CVE-2020-0796, durante o preâmbulo do ciclo de atualização regular da Patch Tuesday da Microsoft.
Nenhum detalhe técnico foi publicado, mas pequenos resumos descrevendo o bug foram publicados nos sites de duas empresas de cibersegurança, Cisco Talos e Fortinet.
A falha de segurança, rastreada como CVE-2020-0796, não está incluída nas atualizações da Patch Tuesday de março de 2020 deste mês e não está claro quando será corrigida.
Estouro de buffer no SMBv3
Segundo a Fortinet , o bug foi descrito como “uma vulnerabilidade de estouro de buffer em servidores SMB da Microsoft” e recebeu uma classificação máxima de gravidade.
“A vulnerabilidade ocorre devido a um erro quando o software vulnerável lida com um pacote de dados compactados criado com códigos maliciosos”, afirmou Fortinet. “Um invasor remoto não autenticado pode explorar isso para executar código arbitrário dentro do contexto do aplicativo.”
Uma descrição semelhante também foi publicada – e removida posteriormente – em uma postagem no blog Cisco Talos. A empresa disse que “a exploração dessa vulnerabilidade abre os sistemas para um ataque ‘desagradável’, o que significa que seria fácil passar de vítima para vítima”.
O aviso de um bug que pode afetar o SMB chega a dar frio na espinha de alguns administradores de sistema. Isso ocorre porque o SMB é o mesmo protocolo que ajudou as linhagens de ransomware WannaCry e NotPetya a se espalharem globalmente através de um comportamento semelhante a um worm durante a primavera e o verão de 2017.
Nenhum ataque explorado até o momento
Até o momento nenhum ataque explorou a vulnerabilidade relatada pelo CVE-2020-0796. Somente detalhes sobre o bug vazaram on-line, não o código de exploração real, como aconteceu em 2017.
Embora o vazamento de hoje tenha alertado alguns hackers sobre a presença de um bug importante no SMBv3, não é esperado que tentativas de exploração sejam iniciadas tão cedo.
Além disso, também existem outros pontos positivos. Por exemplo, esse novo “bug SMB worble” afeta apenas o SMBv3, a versão mais recente do protocolo, incluída apenas nas versões recentes do Windows.
Mais especificamente, o Fortinet lista apenas o Windows 10 v1903, Windows10 v1909, Windows Server v1903 e Windows Server v1909 como impactado pelo novo bug CVE-2020-0796.
Não está claro como o vazamento aconteceu
Como e por que os detalhes sobre uma vulnerabilidade tão crítica foi vazada on-line continuam sendo um mistério, pelo menos por enquanto. A Microsoft não emitiu algum comentário antes da publicação deste artigo.
Atualmente, existem duas teorias sobre como isso pode ter acontecido. O primeiro envolve o Common Vulnerability Reporting Framework (CVRF) e o Microsoft Active Protections Program (MAPP).
Isso se refere ao compartilhamento de detalhes da Microsoft sobre os próximos patches com parceiros confiáveis do setor, como fabricantes de antivírus e fornecedores de hardware.
A teoria é que a Microsoft pode ter compartilhado uma lista de vulnerabilidades futuras, mas depois removeu o bug da lista com pouco tempo para alguns fornecedores – como Cisco Talos e Fortinet – atualizarem seus próprios avisos de segurança.
A segunda é que as informações sobre o CVE-2020-0796 foram compartilhadas acidentalmente por meio da API da Microsoft, que alguns fornecedores de antivírus, administradores de sistemas e repórteres buscam informações sobre os patches do Patch Tuesday, assim que saem.
A teoria é que o bug pode ter sido inicialmente agendado para receber um patch este mês, mas depois foi corrigido; no entanto, sem ser removido da API e, eventualmente, entrar nos avisos do Talos e Fortinet.
Até então, o conselho excluído do Cisco Talos continua sendo o conselho mais confiável para lidar com qualquer situação inesperada em relação a esse bug.
“Os usuários são incentivados a desativar a compactação SMBv3 e bloquear a porta TCP 445 em firewalls e computadores clientes”.
À luz do patch , alguns pesquisadores de segurança começaram a chamar o bug de SMBGhost , pois todos sabem que o bug está lá, mas ninguém pode vê-lo.
A Microsoft soltou um comunicado de segurança com instruções sobre como desabilitar corretamente a compactação SMBv3 com segurança utilizando o PowerShell.
Curta, comente e compartilhe.