CVE-2020-0796: Vulnerability in Windows 10 en Windows Server met potentieel grote impact (patch beschikbaar!)
Samenvatting
Microsoft heeft op 12 maart 2020 patch KB4551762 [1] uitgebracht voor het verhelpen van CVE-2020-0796. Deze kwetsbaarheid raakt recente Windows 10 en Windows server versies. Als een aanvaller deze kwetsbaarheid succesvol weet te benutten, kan daarmee op afstand kwaadaardige code op die systemen uitgevoerd worden.
Deze patch is buiten de reguliere “patch tuesday” uitgebracht, en het patchen van kwetsbare systemen wordt dan ook als zeer urgent gezien. Zorg dat u uw kwetsbare systemen zo snel mogelijk patcht of anderszins beschermt indien patchen niet mogelijk is!
Introductie
Op 10 maart 2020 heeft Microsoft een kwetsbaarheid onthuld in het SMBv3.1.1 protocol [6]. Op het moment van publicatie was er nog geen patch beschikbaar. Enkele dagen later, op 12 maart, is patch KB4551762 [1] voor dit probleem gepubliceerd. Over het algemeen publiceert Microsoft maandelijks op “patch tuesday” updates voor Windows, maar vanwege de urgentie van dit probleem is deze patch buiten het reguliere proces om beschikbaar gemaakt.
In deze post beschrijven we op hoofdlijnen wat SMB is en wat de kwetsbaarheid in SMBv3.1.1 inhoudt. Daarnaast geven we aan waarom deze kwetsbaarheid een groot risico met zich meebrengt en snel patchen dus zeer belangrijk is. Tot slot geven we aan wat u nu kunt doen om de risico’s voor uw netwerk te beperken.
Wat is SMB?
SMB [7] is het protocol dat door Windows systemen gebruikt wordt om bestanden en directories voor andere systemen beschikbaar te maken op het lokale netwerk. Gedeelde directories worden vaak “shares” of “windows shares” genoemd, en zijn in bedrijfsnetwerken vaak beschikbaar als aparte “schijven” op werkplekken met een eigen letter als aanduiding. De harde schijf wordt vaak aangeduid met de letter “C”, netwerkschijven hebben vaak letters die wat verderop in het alfabet zitten.
In de praktijk wordt in vrijwel alle netwerken het SMB-protocol gebruikt om bestanden tussen werkplekken te delen via file-servers. Ondersteuning voor dit protocol zit dan ook standaard in alle moderne Windows versies.
Mogelijk risico
In versie 3.1.1 van het SMB-protocol ondersteunen recente versies van Windows ook compressie. In de implementatie van deze feature is nu een kwetsbaarheid gevonden (CVE-2020-0796) waarmee een aanvaller kwetsbare systemen in theorie kan overnemen via het netwerk. Succesvolle authenticatie op een fileserver is niet nodig om misbruik te maken van deze kwetsbaarheid.
Wat deze kwetsbaarheid extra gevaarlijk maakt, is dat zowel clients (werkplekken) als servers kwetsbaar zijn. Een aanvaller zou dus potentieel malware kunnen ontwikkelen die zich automatisch via deze kwetsbaarheid van client naar server en vice versa over een heel netwerk verspreidt. Een dergelijk scenario doet denken aan de wereldwijde WannaCry aanval uit mei 2017. WannaCry gebruikte een exploit voor CVE-2017-0144, eveneens een kwetsbaarheid in SMB waarmee de ransomware zich automatisch via het netwerk kon verspreiden.
De patch voor dit probleem is op 12 maart beschikbaar gekomen en het is dan ook zeer aan te raden om uw systemen zo snel mogelijk van deze patch te gaan voorzien.
Zijn mijn systemen kwetsbaar?
De kwetsbaarheid CVE-2020-0796 zit enkel in systemen die SMBv3.1.1 compression ondersteunen. Die feature is alleen aanwezig in relatief recente Windows 10 en Windows Server versies (vanaf versie 1903). Zie ook de lijst van versies met de bijbehorende beschikbare updates [3] en de FAQ van Microsoft zelf [4].
Oudere Windows versies zouden niet kwetsbaar moeten zijn voor dit specifieke probleem. De aanbeveling om security updates zo snel mogelijk te installeren blijft uiteraard ook voor dergelijke systemen nog steeds van kracht.
Wat kunt u doen om mogelijke schade te voorkomen of te beperken?
Als u systemen beheert die kwetsbaar zijn voor CVE-2020-0796, dan kunt u het best zo snel mogelijk patch KB4551762 [1] installeren. Dit is in veel gevallen gewoon via Windows Update te doen. Indien dit op servers om wat voor reden dan ook echt niet mogelijk is op dit moment, kunt u voor die systemen de door Microsoft beschreven workaround overwegen: het uitschakelen van SMBv3 compressie [2]. Let op: de kwetsbaarheid raakt zowel servers als clients, maar voor clients is geen workaround beschikbaar!
Naast het beschermen van uw systemen tegen misbruik van CVE-2020-0796 is het ook aan te bevelen om SMB-verkeer aan de rand van uw netwerk te blokkeren (bijvoorbeeld in uw firewalls) en om zogenaamde ‘lateral connections’ zo veel mogelijk te beperken. Microsoft heeft ook hier uitgebreide documentatie over beschikbaar [5].
Tesorion doet actief onderzoek naar aanvallen op CVE-2020-0796. Onze klanten zijn op verschillende manieren beschermd:
– De honeypot in Tesorion Immunity detecteert aanvallen die gebruik maken van CVE-2020-0796.
– Bij SOC-klanten van Tesorion worden mogelijke aanvallen op CVE-2020-0796 via onze netwerksensoren gedetecteerd.
Bronnen:
[1]: https://support.microsoft.com/en-us/help/4551762/windows-10-update-kb4551762[2]: https://msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0796#ID0EUGAC
[3]: https://msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0796#ID0EGB
[4]: https://msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0796#ID0EKIAC
[5]: https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections
[6]: https://msrc.microsoft.com/en-us/security-guidance/advisory/ADV200005
[7]: https://en.wikipedia.org/wiki/Server_Message_Block