[NCSC-varsel] Kritisk sårbarhet i SMBv3

NCSC ønsker å informere om sårbarheten CVE-2020-0796 som ikke ble publisert under gårsdagens patchetirsdag.

På generelt grunnlag fraråder NCSC å ha SMB-tjenester direkte eksponert mot Internett.

Microsoft Server Message Block 3.1.1 (SMBv3) har en svakhet i måten protokollen behandler enkelte forespørsler [1]. Dette kan åpne for fjernkjøring av vilkårlig kode.

Berørte versjoner av Windows:

* Windows 10 Version 1903 for 32-bit Systems

* Windows 10 Version 1903 for ARM64-based Systems

* Windows 10 Version 1903 for x64-based Systems

* Windows 10 Version 1909 for 32-bit Systems

* Windows 10 Version 1909 for ARM64-based Systems

* Windows 10 Version 1909 for x64-based Systems

* Windows Server, version 1903 (Server Core installation)

* Windows Server, version 1909 (Server Core installation)

På nåværende tidspunkt finnes det ikke sikkerhetsoppdatering for denne sårbarheten, men det er mulig å mitigere den på servere. Dette gjøres ved å slå av komprimering i SMB via en endring i registeret. Følgende PowerShell-kommando kan kjøres for å gjøre dette:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

Det forventes en out-of-band-oppdatering som vil adressere sårbarheten.

Det anbefales at denne installeres så snart det lar seg gjøre. Dersom SMB-servere må være eksponert, anbefales det å utføre nevnte mitgreringstiltak eller vurdere midlertidig blokkering av trafikk mot enhetene.

NCSC er ikke kjent med at denne sårbarheten er forsøkt aktivt utnyttet på nåværende tidspunkt.

NCSC-pulsen forblir på nivå 2 da det eksisterer en workaround og det ikke er sett tegn til aktiv utnyttelse.

Referanser:

[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005