WannaTry igjen? SMBv3-sårbarheten slår til!

Av David Kasabji och Boštjan Žvanut, Cyber Security Analytiker på NIL (del av Conscia)

SMBv3-sårbarheten (CVE-2020-0796) – hvordan beskytte seg mot Zero-Day-Attacks

Hele verden kjemper mot uante effekter av COVID-19, forårsaket av et medlem av Coronavirusfamilien. Samtidig har vi akkurat fått informasjon om en ny sårbarhet i SMBv3 – protokollen. Det er en reell frykt for at dette kan føre til liknende scenarioer i cyberverden, som det vi ser rundt oss nå i forbindelse med COVID-19.

SMBv3-sårbarheten ble utilsiktet lekket av Microsoft selv, før en patch ble lansert. Det er en lignende sak fra tre år tilbake da Shadow Brokers lekket en sårbarhet, en måned etter at oppdateringen var tilgjengelig fra Microsoft. EternalBlue resulterte i noen av de mest ødeleggende malwareangrepene de siste årene (WannaCry, NotPetya, etc.).

Hva er SMBv3-sårbarheten?
Sårbarheten avsløres under ID CVE-2020-0796. Dette indikerer et angrep for å utnytte en Buffer overflow-sårbarhet i Microsofts SMB-servere. Sårbarheten er forårsaket av en feil når den sårbare programvaren håndterer en skadelig komprimert datapakke. En ikke-verifisert angriper kan bruke denne til å utføre en hvilken som helst kode basert på applikasjonen. Nesten alle nyere versjoner av Windows er berørt.

Hvorfor er det viktig?
I skrivende stund er det ennå ingen oppdatering for SMBv3-sårbarheten. Dette betyr at ethvert forsøk på å utnytte sårbarheten vil resultere i en nulldagers utnyttelse (et såkalt day zero-angrep betyr at det ikke er noen beskyttelse mot et gitt sårbarhet). Dette faktum gjør denne sårbarheten farlig. Vi husker hvordan SMBv1 ble utnyttet av EternalBlue, som forårsaket ransomware-angrepene WannaCry og NotPetya som forårsaket en total skade verdsatt i milliarder dollar.

Hva kan vi gjøre med det?
Så lenge det ikke finnes noen oppdatering for å løse sårbarheten, må vi være på vakt, stramme inn sikkerheten i miljøene våre, og selvfølgelig se etter alternative løsninger. Vi anbefaler at virksomheter følger generelle sikkerhets-retningslinjer designet for å forhindre skader på grunn av denne typen sårbarheter (samt andre potensielt skadelige aktiviteter, for eksempel annen ransomware).

Les hele blogginnlegget på engelsk eller svensk ved å følge linkene under:

Engelsk versjon.

Svensk versjon. 

 

Våre sikkerhetseksperter er klare for å hjelpe deg – ta kontakt med salg@conscia.no – så avtaler vi et webexmøte med deg i første omgang!