Beheer

Microsoft SMB bevat nog niet gepatchte EternalBlue-achtige fout
Bedrijven lopen (nog) geen direct gevaar door gelekte fout.
Bedrijven lopen (nog) geen direct gevaar door gelekte fout.
Beveiligingsbedrijven Cisco Talos en Fortinet hebben details gedeeld over een nieuwe, 'wormable' kwetsbaarheid in het Microsoft Server Message Block (SMB) protocol. Een aanvaller kan dankzij deze fout eigen code uitvoeren in de context van Microsoft SMB Servers. Het is voor bedrijven echter nog niet mogelijk om zich tegen de fout te beschermen: een patch is nog niet beschikbaar.
De twee beveiligingsbedrijven deelden gisteren, voor de Patch Tuesday-update van Microsoft verscheen, al een samenvatting over de kwetsbaarheid, schrijft ZDNet. In die update verscheen echter geen patch voor de fout, die onder de code CVE-2020-0796 gevolgd moet worden. Wanneer een patch volgt, is nog onduidelijk. Wel heeft Microsoft inmiddels een workaround gepubliceerd: het advies is om SMBv3-compressie uit te schakelen.
Concreet gaat het om een 'Buffer Overflow'-kwetsbaarheid in Microsoft SMB Servers, die als kritiek wordt beschouwd. "Een externe, niet-geverifieerde aanvaller kan dit gebruiken om willekeurige code in de context van de toepassing uit te voeren", aldus Fortinet in zijn samenvatting. Volgens Cisco Talos - dat zijn samenvatting inmiddels weer offline heeft gehaald - kan via de fout een 'wormable' aanval uitgevoerd worden.
Dat een fout 'wormable' aanvallen mogelijk maakt, betekent dat malware die via de kwetsbaarheid verspreid wordt gemakkelijk van slachtoffer naar slachtoffer kan springen. Dat gebeurde ook bij de EternalBlue-fout, waar de nieuw gevonden fout veel mensen aan doet denken. EternalBlue was namelijk ook een fout in het SMB-protocol, dat in 2017 de verspreiding van de ransomware WannaCry en NotPetya mogelijk maakte.
Paniek (nog) niet nodig
Vooralsnog hoeven organisaties zich echter geen zorgen te maken. Hoewel er details online zijn verschenen over de nieuw gevonden fout, is er nog geen exploit code online gevonden. In 2017, ten tijde van EternalBlue, was dat wel het geval.
Bovendien zit de fout alleen in SMBv3, wat de nieuwste versie is van het protocol en alleen geïmplementeerd is in de meest recente versies van Windows. Volgens Fortinet zijn alleen Windows 10 v1903 en v1909, en Windows Server v1903 en v1909 kwetsbaar door de fout.
BELANGRIJK! Lijkt erop dat Cisco's Talos per ongeluk een kwetsbaarheid in SMB heeft onthult. CVE-2020-0796 is een Remote Code Execution exploit in Windows SMBv3.
— Rickey Gevers (@UID_) March 10, 2020
Als dit klopt krijgen we mogelijk een 'nieuwe' EternalBlue wat weer kan resulteren in een nieuwe WannaCry/NotPetya. pic.twitter.com/Y40NTlBhbB
Redacteur bij AG Connect. Schrijft onder meer over de IT-arbeidsmarkt, IT-onderwijs, software-ontwikkeling en zakelijke software.
e.meijer@agconnect.nl