Mye tyder på at det var ved et uhell at Microsoft har informert et mindre antall sikkerhetspartnere om en svært alvorlig Windows-sårbarhet (CVE-2020-0796) som selskapet ennå ikke har noen sikkerhetsfiks til. Flere av partnerne har videreformidlet informasjon om sårbarheten, trolig i den tro at en sikkerhetsfiks skulle bli tilgjengelig sammen med de øvrige sikkerhetsfiksene Microsoft kom med på tirsdag denne uken. Disse fjerner i alt 115 forskjellige sårbarheter.
Mye tyder på at Microsoft ikke har rukket å bli ferdig med den aktuelle sikkerhetsfiksen i tide for utgivelse på tirsdag.
SMBv3
I alle fall Fortiguard og Talos har slettet informasjonen igjen, men den er tilgjengelig i arkiverte utgaver av websidene. Microsoft skal noe senere på tirsdag ha kommet med en egen sikkerhetsveiledning om sårbarheten, trolig som et resultat av at den allerede var blitt omtalt. Dette skriver Bleeping Computer.
Den alvorlige sårbarheten eksisterer i Microsoft Server Message Block 3.1.1 (SMBv3), som er en nyere versjon av samme protokoll som ble utnyttet av Wannacry-skadevaren. Den brukes i utgangspunktet til deling av filområder og skrivere i lokalnett.
Ifølge Microsoft er det bare nyere utgaver av Windows 10 og Windows Server som er berørt, det vil si versjon 1903 og nyere.
Fjernkjøring og ormmulighet
Sårbarheten er av typen «buffer overflow» og åpner for fjernkjøring av vilkårlig kode. Den skal skyldes en svakheten i hvordan programvaren håndterer komprimerte datapakker som er utformet på en spesiell måte. På serversiden er det nok å sende en slik pakke til serveren. For å utnytte sårbarheten på klientsiden, må angripere konfigurere en ondsinnet SMNv3-server og overbevise brukeren om å koble PC-en til denne.
Ifølge Talos kan dette åpne opp for et ormangrep, altså et angrep som automatisk spres fra maskin til maskin.
Foreløpige mottiltak
Utnyttelse av sårbarheten kan på serversiden avverges ved å deaktivere støtten for SMBv3-komprimering. Microsoft forklarer på denne siden hvordan det kan gjøres, men advarer om at dette ikke beskytter Windows-klienter mot eventuelle angrep.
Av Wannacry og lignende skadevare har forhåpentligvis de fleste lært at nettverksporten som SMB bruker, TCP 445, alltid skal blokkeres av brannmuren mot internett, slik at SMB-tjenestene kun er tilgjengelige lokalt. Microsoft anbefaler at også NetBIOS-portene UDP 137, UDP 138 og TCP 139 blokkeres til og fra internett.
Dette hjelper likevel ikke mot utnyttelse av sårbarheten, dersom en angriper har greid å komme seg på innsiden av lokalnettet via en infisert PC. Microsoft anbefaler derfor at den innebygde brannmuren i Windows 10 – Windows Defender Firewall – konfigureres slik at innkommende SMB-forbindelser (TCP 445) alltid blokkeres, og at utgående SMB-forbindelser kun tillates når PC-en er tilkoblet det Windows 10 kaller for private nettverk, altså nettverk man som bruker eller administrator har tillit til.