SIKKERHET

Microsoft med nødoppdatering til Windows 10

Fjerner alvorlig sårbarhet. Mange servere kan angripes direkte fra internett.

Sikkerhetsoppdateringen som fjerner «SMBGhost»-sårbarheten (KB4551762) er tilgjengelig i Windows Update.
Sikkerhetsoppdateringen som fjerner «SMBGhost»-sårbarheten (KB4551762) er tilgjengelig i Windows Update. Skjermbilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
13. mars 2020 - 08:56

Microsoft har kommet med en ekstraordinær sikkerhetsoppdatering til Windows 10 og Windows Server som skal fjerne en alvorlig sårbarhet i operativsystemene. Dette er den samme sårbarheten som digi.no omtalte torsdag denne uken. Det er kun versjonene 1903 og 1909 som er berørt, så sårbarheten finnes i ny funksjonalitet som ble innført med 1903-versjonen.

Mye tyder på at Microsoft ikke rakk å bli ferdig med denne sikkerhetsoppdateringen. I normale tilfeller ville selskapet ha ventet til neste måned med å gi den ut og informasjon om sårbarheten, men som digi.no skrev i går, var situasjonen denne gang litt spesiell. 

Fildelingsprotokoll

Den aktuelle sårbarheten finnes i protokollen Microsoft Server Message Block 3.1.1 (SMBv3) og måten denne håndterer forespørsler på. Det ser ikke ut til at Microsoft har kommet med nye detaljer om sårbarheten. Disse kan leses i torsdagens sak på digi.no. Noen flere detaljer om oppdateringen, finnes på denne siden.

Illustrasjonsbilde fra Forsvarets ingeniørhøgskoles mestringsøvelse i mai 2017. Regjeringen oppretter nå en egen etat dedikert til graderte kommunikasjonsnett.
Les også

Ny etat skal levere graderte kommunikasjonsløsninger

Sårbarheten har fått en rekke ulike kallenavn, men det ser ut til at det er SMBGhost som har blitt mest populært. 

Nye verktøy

Det har allerede blitt lagd en rekke verktøy for blant annet å teste om servere er sårbare for denne sårbarheten. Andre har lagd konseptbevis på hvordan den kan utnyttes. Videoen nedenfor demonstrerer dette. Konseptbeviset den demonstrerer er lagd av Marcus Hutchin, som er mest kjent for å ha stoppet spredningen av WannaCry ved et lykketreff.

Det er dermed bare et tidsspørsmål før sårbarhetene blir utnyttet av ondsinnede. Det er som digi.no skrev i går, ganske enkelt for brukere og administratorer å forhindre at sårbarheten blir utnyttet, også før sikkerhetsoppdateringen kom. Disse rådene er fortsatt gyldige, selv om det nå har kommet en sikkerhetsoppdatering. 

Nils Ivar Skaalerud, grunnlegger og COO hos Junglemap, skriver i kronikken at mange virksomheter enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet.
Les også

Den utbredte feilbruken av phishing-simuleringer er et problem

SMBGhost-sårbarheten anses for å være mulig å utnytte av ormer, som automatisk kan spre seg fra maskin til maskin. Sikkerhetsoppdateringen bør derfor installeres så raskt det lar seg gjøre, slik at det ikke oppstår en situasjon slik som med NotPetya og WannaCry, hvor systemene ble infisert selv om en sikkerhetsfiks hadde vært tilgjengelig i flere uker.

Eksponerte servere

Ifølge Bleeping Computer har sikkerhetsselskapet Kryptos Logic, som nevnte Hutchin er ansatt i, søkt etter sårbare servere som eksponerer SMB-tjenesten helt åpent på internett. Det ble funnet 48.000 verter. 

Selv om det dreier seg om en nyere versjon, er SMB den samme protokollen som WannaCry utnyttet. Det frarådes i de aller, aller fleste tilfeller å gjøre tilgjengelig på internett, ved å åpne opp TCP-port 445 i brannmuren som skiller virksomhetens eller hjemmets lokalnett fra internett.

PST, FBI og en rekke andre internasjonale aktører tok denne måneden ned et ruternettverk som ble benyttet av en kjent russisk hackergruppe.
Les også

PST varslet norske ruter-eiere om sikkerhetshull

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.