Na terça-feira, foi divulgado o texto de uma nova vulnerabilidade nas versões recentes do Windows que tem o potencial de desencadear o tipo de ataques auto-replicantes que permitiram aos worms WannaCry e NotPetya prejudicar as redes de negócios em todo o mundo.
ARS TECHNICA
Essa história apareceu originalmente na Ars Technica, uma fonte confiável de notícias sobre tecnologia, análise de políticas técnicas, análises e muito mais. Ars é de propriedade da controladora da WIRED, Condé Nast.
A vulnerabilidade existe na versão 3.1.1 do Server Message Block 3.1.1, usada para compartilhar arquivos, impressoras e outros recursos em redes locais e pela Internet. Os invasores que exploram com êxito a falha podem executar o código de sua escolha nos servidores e nos computadores dos usuários finais que usam o protocolo vulnerável, afirmou a Microsoft neste comunicado.
A falha, que é rastreada como CVE-2020-0796, afeta o Windows 10 e o Windows Server 2019, que são relativamente novos lançamentos em que a Microsoft investiu grandes quantidades de recursos para proteger precisamente esses tipos de ataques. Os patches não estão disponíveis e o comunicado de terça-feira não forneceu um cronograma para o lançamento de um. Perguntado se havia um cronograma para liberar uma correção, um representante da Microsoft disse: “Além do aviso que você vinculou, nada mais a compartilhar da Microsoft no momento”.
Enquanto isso, a Microsoft disse que os servidores vulneráveis podem ser protegidos desativando a compactação para impedir que invasores não autenticados explorem a vulnerabilidade em um servidor SMBv3. Os usuários podem usar o seguinte comando do PowerShell para desativar a compactação sem precisar reiniciar a máquina:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force
Essa correção não protege os computadores clientes vulneráveis de ataques. A Microsoft também recomendou que os usuários bloqueiem a porta 445, que é usada para enviar tráfego SMB entre máquinas.
Agora você vê, agora você não
Um comunicado publicado – e depois removido – pela empresa de segurança Fortinet descreveu a vulnerabilidade como “MS.SMB.Server.Compression.Transform.Header.Memory.Corruption”. O comunicado divulgado disse que a falha é o resultado de um estouro de buffer em servidores vulneráveis de pequenas e médias empresas da Microsoft.
“A vulnerabilidade ocorre devido a um erro quando o software vulnerável lida com um pacote de dados compactados criado com códigos maliciosos”, escreveram os pesquisadores da Fortinet. “Um invasor remoto e não autenticado pode explorar isso para executar código arbitrário no contexto do aplicativo”.
A equipe de segurança Talos da Cisco também publicou – e mais tarde obteve – seu próprio comunicado. Ele chamou a vulnerabilidade de “wormable”, o que significa que uma única exploração pode desencadear uma reação em cadeia que permite que os ataques se espalhem de uma máquina vulnerável para outra, sem exigir nenhuma interação de administradores ou usuários.
“Um invasor pode explorar esse bug enviando um pacote especialmente criado para o servidor SMBv3 de destino, ao qual a vítima precisa estar conectada”, disse a publicação removida do Talos. “Os usuários são incentivados a desativar a compactação SMBv3 e bloquear a porta TCP 445 em firewalls e computadores clientes. A exploração dessa vulnerabilidade abre os sistemas para um ataque ‘desagradável’, o que significa que seria fácil passar de vítima para vítima. ”
A implementação do SMBv3 da Microsoft apresenta uma variedade de medidas projetadas para tornar o protocolo mais seguro em computadores Windows. A atualização tornou-se mais amplamente usada depois que o WannaCry e o NotPetya usaram uma exploração desenvolvida pela – e posteriormente roubada da – agência de Segurança Nacional. Conhecido como EternalBlue, o ataque explorou o SMBv1 para obter execução remota de código e passar de máquina para máquina. Da mesma forma, a Microsoft reforçou o Windows 10 e o Server 2019 para suportar melhor as explorações, especialmente aquelas que de outra forma seriam utilizáveis.
Não está claro por que a Microsoft divulgou os detalhes esparsos ou por que o Fortinet e o Talos divulgaram e, em seguida, solicitaram seus conselhos. O evento ocorreu na terça-feira de atualização, que ocorre na segunda terça-feira de cada mês, quando a Microsoft lança uma variedade de patches para corrigir várias vulnerabilidades de segurança.
Avaliação de risco
Embora o CVE-2020-0796 seja potencialmente sério, nem todos disseram que isso representa o tipo de ameaça montada pela falha do SMBv1 que foi explorada pelo WannaCry e pelo NotPetya. Esses worms foram alimentados pelo lançamento público do EternalBlue, uma exploração tão confiável que tornou a exploração um exercício de copiar e colar. Outra grande contribuição para o sucesso dos worms foi a quase onipresença do SMBv1 na época. O SMBv3, por outro lado, é muito menos usado.
O SMB também é protegido pela randomização do layout do espaço de endereço do kernel, uma proteção que randomiza os locais de memória em que o código do invasor é carregado no caso de uma vulnerabilidade ser explorada com êxito. A proteção requer que os invasores planejem duas explorações altamente confiáveis, uma que abuse do estouro de buffer ou outra vulnerabilidade de execução de código e outra que revele os locais de memória da carga maliciosa. A proteção exigia que a Buckeye, um grupo avançado de hackers que explorasse a falha do SMBv1 14 meses antes do misterioso vazamento do EternalBlue, também usasse uma falha de divulgação de informações separada.
