Microsoft SMB bevat nog niet gepatchte EternalBlue-achtige fout

De twee beveiligingsbedrijven deelden gisteren, voor de Patch Tuesday-update van Microsoft verscheen, al een samenvatting over de kwetsbaarheid, schrijft ZDNet. In die update verscheen echter geen patch voor de fout, die onder de code CVE-2020-0796 gevolgd moet worden. Wanneer een patch volgt, is nog onduidelijk. Wel heeft Microsoft inmiddels een workaround gepubliceerd: het advies is om SMBv3-compressie uit te schakelen.

Concreet gaat het om een 'Buffer Overflow'-kwetsbaarheid in Microsoft SMB Servers, die als kritiek wordt beschouwd. "Een externe, niet-geverifieerde aanvaller kan dit gebruiken om willekeurige code in de context van de toepassing uit te voeren", aldus Fortinet in zijn samenvatting. Volgens Cisco Talos - dat zijn samenvatting inmiddels weer offline heeft gehaald - kan via de fout een 'wormable' aanval uitgevoerd worden.

Dat een fout 'wormable' aanvallen mogelijk maakt, betekent dat malware die via de kwetsbaarheid verspreid wordt gemakkelijk van slachtoffer naar slachtoffer kan springen. Dat gebeurde ook bij de EternalBlue-fout, waar de nieuw gevonden fout veel mensen aan doet denken. EternalBlue was namelijk ook een fout in het SMB-protocol, dat in 2017 de verspreiding van de ransomware WannaCry en NotPetya mogelijk maakte.

Paniek (nog) niet nodig

Vooralsnog hoeven organisaties zich echter geen zorgen te maken. Hoewel er details online zijn verschenen over de nieuw gevonden fout, is er nog geen exploit code online gevonden. In 2017, ten tijde van EternalBlue, was dat wel het geval. 

Bovendien zit de fout alleen in SMBv3, wat de nieuwste versie is van het protocol en alleen geïmplementeerd is in de meest recente versies van Windows. Volgens Fortinet zijn alleen Windows 10 v1903 en v1909, en Windows Server v1903 en v1909 kwetsbaar door de fout.