Microsoft maakt onbedoeld kwetsbaarheid Server Message Block bekend

Abonneer je gratis op Techzine!

Microsoft heeft per ongeluk informatie vrijgegeven over een fout in zijn Server Message Block 3.0 (SMBv3) netwerkcommunicatieprotocol. De fout is wormable, wat betekent dat er een hacker makkelijk van device naar device kan bewegen door de fout.

De details van de kwetsbaarheid, die de code CVE-220-0796 heeft gekregen, werden openbaar gemaakt toen Microsoft voorbarig securityvendors informeerde via het Active Protections Program. De informatie werd kort daarna snel weer ingetrokken, maar dat was dus te laat om het niet uit te laten komen.

Aanvallers kunnen de kwetsbaarheid gebruiken voor het draaien van code op afstand (remote execution). De fout in SMBv3 kunnen hackers misbruiken door een specifiek voor dat doel ontworpen packet naar een doelserver te sturen. Wel moeten hackers al toegang hebben tot die server.

Kwetsbare besturingssystemen zijn onder andere Windows 10 1903 en 1909 (32-bit), evenals x64-bits en ARM64-gebaseerde systemen. Ook Windows Server-versies 1903 en 1909 maken deel uit van de risicogroep.

Advies securityfirma’s

Beveiligingsfirma Fortinet stelt tegenover ITPro dat de kwetsbaarheid waarschijnlijk te wijten is aan een fout waarbij de software een kwaadaardige data packet verkeerd behandelt. Dat kan leiden tot hackers die volledige controle krijgen over een kwetsbaar systeem. Zowel Fortinet als Cisco (Talos) raden aan om SMBv3-compressie uit te schakelen en de TCP-poort 445 te blokkeren op firewalls en computers.

Microsoft liet weten dat er een workaround is, waarbij het uitschakelen van SMBv3 compression kan worden gebruikt als oplossing. Dit met behulp van een PowerShell-command. Het bedrijf voegde daar overigens wel aan toe dat dit niet voorkomt dat SMB-clients misbruikt worden.