Microsoft har kommet med en ekstraordinær sikkerhetsoppdatering til Windows 10 og Windows Server som skal fjerne en alvorlig sårbarhet i operativsystemene. Dette er den samme sårbarheten som digi.no omtalte torsdag denne uken. Det er kun versjonene 1903 og 1909 som er berørt, så sårbarheten finnes i ny funksjonalitet som ble innført med 1903-versjonen.
Mye tyder på at Microsoft ikke rakk å bli ferdig med denne sikkerhetsoppdateringen. I normale tilfeller ville selskapet ha ventet til neste måned med å gi den ut og informasjon om sårbarheten, men som digi.no skrev i går, var situasjonen denne gang litt spesiell.
Fildelingsprotokoll
Den aktuelle sårbarheten finnes i protokollen Microsoft Server Message Block 3.1.1 (SMBv3) og måten denne håndterer forespørsler på. Det ser ikke ut til at Microsoft har kommet med nye detaljer om sårbarheten. Disse kan leses i torsdagens sak på digi.no. Noen flere detaljer om oppdateringen, finnes på denne siden.
Sårbarheten har fått en rekke ulike kallenavn, men det ser ut til at det er SMBGhost som har blitt mest populært.
Nye verktøy
Det har allerede blitt lagd en rekke verktøy for blant annet å teste om servere er sårbare for denne sårbarheten. Andre har lagd konseptbevis på hvordan den kan utnyttes. Videoen nedenfor demonstrerer dette. Konseptbeviset den demonstrerer er lagd av Marcus Hutchin, som er mest kjent for å ha stoppet spredningen av WannaCry ved et lykketreff.
Det er dermed bare et tidsspørsmål før sårbarhetene blir utnyttet av ondsinnede. Det er som digi.no skrev i går, ganske enkelt for brukere og administratorer å forhindre at sårbarheten blir utnyttet, også før sikkerhetsoppdateringen kom. Disse rådene er fortsatt gyldige, selv om det nå har kommet en sikkerhetsoppdatering.
SMBGhost-sårbarheten anses for å være mulig å utnytte av ormer, som automatisk kan spre seg fra maskin til maskin. Sikkerhetsoppdateringen bør derfor installeres så raskt det lar seg gjøre, slik at det ikke oppstår en situasjon slik som med NotPetya og WannaCry, hvor systemene ble infisert selv om en sikkerhetsfiks hadde vært tilgjengelig i flere uker.
Eksponerte servere
Ifølge Bleeping Computer har sikkerhetsselskapet Kryptos Logic, som nevnte Hutchin er ansatt i, søkt etter sårbare servere som eksponerer SMB-tjenesten helt åpent på internett. Det ble funnet 48.000 verter.
We've just finished our first internet wide scan for CVE-2020-0796 and have identified 48000 vulnerable hosts. We'll be loading this data into Telltale for CERTs and organisations to action. We're also working on a blog post with more details (after patch).
— Kryptos Logic (@kryptoslogic) March 12, 2020
Selv om det dreier seg om en nyere versjon, er SMB den samme protokollen som WannaCry utnyttet. Det frarådes i de aller, aller fleste tilfeller å gjøre tilgjengelig på internett, ved å åpne opp TCP-port 445 i brannmuren som skiller virksomhetens eller hjemmets lokalnett fra internett.
