SMBv3-sårbarheten (CVE-2020-0796) förklarad och hur man försvarar sig mot Zero-Day-Attacks
Medan världen kämpar med verkliga effekter av COVID-19-sjukdomen orsakad av en medlem av Coronavirus-familjen, har vi just blivit informerade om en ny sårbarhet i SMBv3-protokollet. Det finns farhågor om att denna kan orsaka ett motsvarande scenario i cybervärlden.
SMBv3-sårbarheten läcktes oavsiktligt av Microsoft själva, innan en patch hade släppts. Det finns ett liknande fall från tre år sedan när Shadow Brokers offentliggjorde en sårbarhet en månad efter att patchen var tillgänglig från Microsoft. EternalBlue resulterade i några av de senaste årens mest förödande malware-attacker (WannaCry, NotPetya etc.).
Vad är SMBv3-sårbarheten?
Sårbarheten avslöjas under ID CVE-2020-0796. Detta indikerar en attack i syfte att utnyttja en Buffer overflow-sårbarhet i Microsofts SMB-servrar. Sårbarheten beror på ett fel när den sårbara mjukvaran hanterar ett skadligt komprimerat datapaket. En icke autentiserad angripare kan utnyttja detta för att utifrån köra valfri kod inom applikationen. Nästan alla nyare Windows-versioner är påverkade.
Varför är den viktig?
I skrivande stund finns det ännu ingen patch för SMBv3-sårbarheten. Det innebär att varje försök att utnyttja sårbarheten skulle resultera i en Zero-day-exploit (en s.k. dagnollattack innebär att det inte finns något skydd mot en given sårbarhet ). Detta gör denna sårbarhet farlig, vi minns hur SMBv1 utnyttjades av EternalBlue, som gav upphov till WannaCry- och NotPetya-ransomware-attackerna som orsakade en sammanlagd skada värderad i miljarder USD.
Vad kan vi göra åt den?
Så länge det inte finns någon patch för att åtgärda sårbarheten måste vi förlita oss på att vara alerta, vissa skärpningar av säkerheten i våra miljöer och naturligtvis alternativa lösningar. Vi rekommenderar verksamheter att följa allmänna säkerhetsriktlinjer som syftar till att förhindra skador på grund av denna typ av sårbarheter (liksom andra möjliga skadliga aktiviteter, t.ex. annan ransomware).
De allmänna riktlinjerna är:
1. Begränsa TCP-port / SMB och RDP på klienter: TCP-port 445 används för att initiera en anslutning med den berörda komponenten. Blockering av denna port vid perimeterbrandväggen finns i nästan alla verksamheter, eftersom det skyddar mot exploatering från omvärlden. De flesta organisationer implementerar dock inte SMB-blockering i interna nätverk. Det finns vanligtvis inget verkligt behov av att ha det aktiverat. En bra praxis i detta fall är att blockera SMB och RDP på klientbrandväggar, eftersom detta begränsar maskspridning genom exploatering, lateral förflyttning och även de flesta typerna av ransomware.
2. Patcha direkt: En av de mest uppenbara metoderna (även om det kanske är den minst använda offentligt) är patchning. Patchning är ett mycket effektivt sätt att hålla sig trygg och säker, eftersom det vanligtvis korrigerar de buggar som möjliggör sårbarheterna. Patchning kan emellertid vara allt annat än trivialt i större IT / OT-miljöer. Detta eftersom organisationer oftast måste testa programfixarna för att säkerställa att de inte skapar några problem innan de distribueras på alla maskiner – det försenar sedan själva patchningen.
Data från olika forskningsstudier tyder på att patchningsprocessen i de flesta företagsorganisationer tar flera månader från publicering till helt uppdaterade system. Värre är att vissa servrar lämnas opatchade eftersom vissa organisationer föredrar att inte göra några ändringar av dem. I fall med system som inte kan patchas bör andra motåtgärder användas. Men för närvarande finns det ingen patch tillgänglig som kan fixa just SMBv3-sårbarheten!
3. Nätverkssegmentering och begränsning av SMB till servrar: De flesta företagsnätverk lider av problem med legacy-system, och vi har vuxit ifrån de tider där platta nätverk (med arbetsstationer och servrar i samma nätverk) var en genomförbar idé. Idag har antalet servrar och slutpunkter ökat kraftigt. Nätverkssegmentering är ett av de viktigaste stegen du bör vidta, eftersom det är grundläggande för att begränsa framgången för illasinnade aktörer på in- eller utsidan. De flesta organisationers nätverk är enkla, segmenterade i DMZ och interna nätverk. Vissa organisationer har redan segmenterat sina miljöer, men utan att använda brandväggar vare sig mellan segment eller på servrarna.
Det rätta sättet att hantera detta är att begränsa åtkomsten till serverresurser endast till grupper av användare som ska ha åtkomst på nätverkslagret. Om den drabbade enheten befinner sig i ett specifikt segment som inte kan ansluta till kritiska datalager eller servrar, kommer en motståndare att ha svårt med förflyttning och exfiltrering av viktiga data. Att inte ha någon segmentering alls är vanligtvis en katastrof som väntar på att hända, vare sig det gäller avancerade attacker eller enkla skador av ransomware, eftersom administratörer ibland stänger av serverbrandväggar för felsökningsändamål och glömmer att slå på dem igen.
Begränsning av SMBv3-sårbarheten:
4. Inaktivera SMBv3-komprimering
Du kan inaktivera komprimering för att hindra oautentiserade angripare från att utnyttja sårbarheten mot en SMBv3-server med PowerShell-kommandot nedan.
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" DisableCompression-Type DWORD -Value 1 -Force
- Ingen omstart behövs efter att ändringen har gjorts.
- Denna lösning förhindrar inte utnyttjande av SMB-klienter.
Du kan inaktivera lösningen med PowerShell-kommandot nedan.
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" DisableCompression-Type DWORD -Value 0 -Force
Lite allmänna siffror
I vårt Security Operations Center (SOC) testade vi att scanna vissa miljöer efter sårbarheter för att upptäcka enheter med SMBv3 aktiverad – bara för att få en uppfattning om den genomsnittliga potentiella attackytan hos våra kunder.
I företagsmiljöer ser vi mycket användning av SMBv2 och tyvärr fortfarande lite av SMBv1. En mycket liten mängd SMBv3-användning finns i produktionsmiljön (under 10 procent). Det betyder att risken för verksamheterna inte är så betydande, men den måste fortfarande identifieras och hanteras på ett korrekt sätt. Det finns fortfarande en risk att en motståndare kommer att förflytta sig i det interna nätverket genom att utnyttja denna sårbarhet. I skrivande stund finns det inga offentliggjorda exploits eller några POC-exploits tillgängliga. Inom en snar framtid är det troligt att vi kommer att se olika typer av skadlig kod som använder denna sårbarhet.
Lite goda nyheter
I skrivande stund finns det inga kända fall av att SMBv3-sårbarheten skall ha utnyttjats. Det kan vara alldeles för tidigt att göra några djärva uttalanden, men hej – vi måste vara lite positiva också!
Som ovanstående statistik visar, har de flesta organisationer inte heller en lika stor andel av sårbara system i sina nätverk som var fallet med EternalBlue-sårbarheten.
Så länge du följer ovanstående riktlinjer för att härda din miljö, kommer du att vara mycket säkrare tills en officiell patch kommer för att åtgärda sårbarheten.
Har du frågor om IT-säkerhet? Vill du kanske låta oss göra en IT-säkerhetsanalys hos er? Hör av dig!