-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Prezados, CAIS-Alerta [12/03/2020]: Vulnerabilidade no protocolo SMBv3 do Microsoft Windows O CAIS alerta para a recente vulnerabilidade crítica encontrada no protocolo SMBv3 de sistemas operacionais Microsoft Windows. No momento dessa publicação foram encontradas na Internet provas de conceito sobre a forma de exploração da vulnerabilidade. DESCRIÇÃO A vulnerabilidade consiste na forma como o protocolo SMBv3 manipula determinados tipos de requisições. A exploração pode ocorrer em dois cenários diferentes sendo: Cliente-Servidor: Um usuário malicioso remoto e não autenticado envia pacotes especificamente criados para exploração da vulnerabilidade no servidor e, caso tenha sucesso, pode permitir a execução de código arbitrário; Servidor-Cliente: Um usuário malicioso pode criar um servidor SMBv3 e forçar clientes a se conectarem e assim poderá permitir a execução de código arbitrário no cliente. SISTEMAS IMPACTADOS Sistema Operacional Microsoft Windows. VERSÕES AFETADAS Windows 10, versão 1903, 32-bits Windows 10, versão 1903, ARM64 Windows 10, versão 1903, x64 Windows 10, versão 1909, 32-bits Windows 10, versão 1909, ARM64 Windows 10, versão 1909, x64 Windows Server, versão 1903 (Server Core) Windows Server, versão 1909 (Server Core) CORREÇÕES DISPONÍVEIS Aplicar as atualizações de segurança disponibilizadas pela Microsoft. RECOMENDAÇÕES Servidor SMB - Aplicar as correções disponíveis no site da Microsoft ou Desabilitar Compressão SMBV3 através do PowerShell "Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force" Cliente SMB: Aplicar as correções disponíveis no site da Microsoft. IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2020-0796 MAIS INFORMAÇÕES [1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0796 [2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005 [3] https://pt-br.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block?tns_redirect=true [4] https://circl.lu/pub/tr-58/ [5] https://securityaffairs.co/wordpress/99340/hacking/cve-2020-0796-smb-flaw.html [6] https://isc.sans.edu/forums/diary/Windows+SMBv3+Denial+of+Service+Proof+of+Concept+0+Day+Exploit/22029/ [7] https://portal.msrc.microsoft.com/en-us/security-guidance O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJeanc/CRB83qA0uPj0mAAAru8P/3VzTmecdFJGuVvVv837 QFFay/dWZJCR0eyg/pDpd0NHaI7iD2QzXOa1VfpNNYm9kgwPQjszU55l72ep FVSfhILLd0agrKoJi40qvasIf68y6SazJNMmhrhOujoSM7EsdoitvDCf+crg fN+dpPRlUTSM58b0eRRC5tNCbS1YNeOECW3ro7IMKIjCal+aPGOHCJ0UcLoN pKY4V1uZ8oqtHhpZLr7QaLyAzIJJFR9XPdfeuCd9x0BA3Rri6eG5B3Gsrdvg tR9Si0Xy6BOukoRgNGzb1Kn9Hsm6dV0QM6YnNPVRehLsRSG3CeUNhnBXW0ZG ZDzSvLBx1svc0Ym6rXZfopV/z79pTQvWM0ePFDaHqiFEeoVWy5+7NcFGWhXA mMnu2Cw4iPOiw+O12B1d5PT7Xq7UTjPdPoqEmagkanvzkk39dEtUHkaFA2ez sUgOQ2ifoZpd5xUq0PCDVT63pRObA7iwgQMm/Izt2gqM9sD7xcVYo3sZoewG HOF7rx9KbG2OZ9oIzYTVwbd3Sgo2Og5H6PO5n+MVSHilCYyUrvcXE4cDoz0L Vtq1ZF+FdV3dobqTrf3mNRp7IpeTKoT7ndwJbp0XP4C6t+y+RpRSVkzX8Kng V3CwODFiZilj0HCZGd6iekwWI7Z7z0Nc3EiEeL3Xa5zq0HONjCa2QKR+VpC1 xXcp =c/iD -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta