-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Prezados, CAIS-Alerta [12/11/2020]: Vulnerabilidade crítica no serviço NFSv3 do sistema operacional Windows O CAIS alerta para a recente vulnerabilidade crítica encontrada no serviço Network File System (NFSv3) do sistema operacional Microsoft Windows, usado para compartilhamentos de arquivos em rede. Além destas descritas neste alerta, a Microsoft publicou um pacote de atualizações de Novembro/2020 com patches de atualização e correção de outras 13 vulnerabilidades críticas e zero-days envolvendo execução de código remoto em várias funções do sistema operacional, como navegadores web, reprodutores de imagem e video e spooler de impressão. Já foram publicados códigos de exploração para algumas das vulnerabilidades identificadas. DESCRIÇÃO - - Estouro de pilha no kernel de sistema (CVE-2020-17051) Uma falha no processo de armazenamento de memória do serviço NFSv3 pode causar um erro no armazenamento da memória do kernel do sistema operacional Windows e consequente estouro de pilha. A exploração desta vulnerabilidade pode ocasionar um erro na execução do driver nfssvr.sys e resultar em travamento do sistema operacional (BSOD, mais conhecida como Tela Azul da Morte). Um usuário malicioso que tenha permissão de escrita em um compartilhamento NFS que tenha sido configurado com acesso de gravação anônimo, ou seja, sem autenticação, pode forjar uma mensagem NFS maliciosa controlando o tamanho do buffer que será usado ao copiar dados para um bloco de pilha de memória de tamanho fixo e provocar o travamento do servidor e consequente indisponibilidade e negação de serviço. - - Acesso fora do limite de memória alocada no kernel de sistema (CVE-2020-17056) Uma falha no processo de armazenamento de memória do serviço NFSv3 pode permitir uma leitura e escrita fora do limite de memória alocada para o driver nfssrv.sys. A exploração desta vulnerabilidade pode ocasionar um erro na execução do driver e resultar em travamento do sistema operacional (BSOD, mais conhecida como Tela Azul da Morte). Embora possa causar BSOD no servidor remoto, esta vulnerabilidade está sendo mais comumente utilizada por usuários maliciosos em combinação com a CVE-2020-17051, por acessar dados de memória e subverter a randomização do espaço de endereçamento do kernel. SISTEMAS IMPACTADOS Sistemas Operacionais Microsoft Windows VERSÕES AFETADAS Windows Server 2019 Windows Server 2019 Server Core installation Windows Server 2016 Windows Server 2016 Server Core installation Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 Server Core installation Windows Server 2012 R2 Server Core installation Windows Server 2008 Service Pack 2 (32 e 64 bits) Windows Server 2008 R2 Service Pack 1 (32 e 64 bits) Windows Server 2008 Service Pack 2 Server Core installation (32 e 64 bits) Windows Server 2008 R2 Service Pack 1 Server Core installation (32 e 64 bits) Windows Server version 20H2 Server Core Installation Windows Server version 2004 Server Core installation Windows Server version 1903 Server Core installation Windows Server version 1909 Server Core installation Windows 10 Version 20H2 (32 e 64 bits) Windows 10 Version 1607 (32 e 64 bits) Windows 10 Version 2004 (32 e 64 bits) Windows 10 Version 1903 (32 e 64 bits) Windows 10 Version 1909 (32 e 64 bits) Windows 10 Version 1809 (32 e 64 bits) Windows RT 8.1 Windows 8.1 (32 e 64 bits) Windows 7 Service Pack 1 (32 e 64 bits) CORREÇÕES DISPONÍVEIS - - Aplicar os patches de atualização fornecidos pela Microsoft. IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2020-17051 CVE-2020-17056 MAIS INFORMAÇÕES [1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17051 [2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17056 [3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-17051 [4] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-17056 [5] https://news.sophos.com/en-us/2020/11/10/november-patch-tuesday-fixes-close-112-holes-including-one-already-being-exploited/ [6] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-17051-remote-kernel-heap-overflow-in-nfsv3-windows-server/ O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJfrZ1jCRB83qA0uPj0mAAAW9QP/i6TE8ZOAYeBJR3bRmWR GZToZzDZhZdR6St6I4XebXL8ZAvT+lGcCcOWe0Kk0EpjrAXzKK3xUzsihsOg jBFfa6ZTMTMRGKb/qBFVsyVifSfooZnvJ4O8lCfY6J5Iy4LO5t+7HZxZEsL+ cMvInQNK4BufPiKyxKysD5/h6eeQ2ZA1h/bVBNhJXAYALf8dbaYT2FFXKLzd 0dImKOGlLVQCdcpjwLTGXRNiYKKhnednjxpno3H+zvE6T528j+AZLhuGzBjk H2QET3N4azHFQMEmtLpsqKAE7LjbY+0VfgKY6MlpbqUk8OJbk1gIranXUt2L TG8afC5of8o7T2z5ze0FJ9j5ZX0JC1Kowq52srorEY/0Hzi7rE+315LZi4TP mBPbgDcYcBewUlapx+BuTEl6JldxNErMhUK0QUZgIXu0GAa9EiXGAh1b7BgI zQyb1/VglwbeVFqDLnYgJFLtkfTm0Az6YBW8CLS0ak/tbP5FRxJqy13O8ir1 BwRCQXIVV3Lcb3StPfsflu9pS+epsrUyrvdbD/PHT+kMWyw/NffIkpvRf/EF cMK6SgGvmR32CaM+K4Qgf5l9cBkhIfHrQhkr6cDPFFIf2iMDczZEYmZTSMa1 ygQ+4yFkpAEVr11JRBVpQkd8w+ujsBF6wfSpWWn8haLsOzmzZa78CE3A3ziD Eqy2 =A68j -----END PGP SIGNATURE-----