Er is een nieuw lek ontdekt in het SMB-protocol in Windows. Met het lek zou het mogelijk zijn op afstand code uit te voeren op een netwerk. Er is op dit moment nog geen patch beschikbaar voor de kwetsbaarheid.

 

Microsoft bevestigt het bestaan van de kwetsbaarheid, die bekendstaat als CVE-2020-0796. Er zijn nog geen technische details bekend over de kwetsbaarheid. Microsoft meldt dat de kwetsbaarheid voor zover bekend niet actief misbruikt wordt. Op maandagavond verscheen het lek kort in een advisory op de site van Cisco's beveiligingsafdeling Talos, maar inmiddels is de informatie daar weer verwijderd.

Verschillende deelnemers van het Microsoft Active Protections Program zouden al wel details hebben gekregen over het lek. Die plaatsten screenshots waarin wordt gesproken over een 'wormable' aanval. Daardoor trokken sommige experts parallellen met andere soortgelijke kwetsbaarheden zoals BlueKeep. Die kwetsbaarheid in het Remote Desktop Protocol zorgde voor veel schade via de EternalBlue-exploit. De huidige kwetsbaarheid zou daar overeenkomsten mee hebben. "Een aanvaller kan deze bug uitbuiten door een zelfontworpen pakketje naar een kwetsbare SMBv3-server te sturen waar het slachtoffer mee verbonden moet zijn", schrijft Microsoft in de waarschuwing.

Microsoft zegt dat het op dit moment nog geen patch beschikbaar heeft voor het lek. Wel raden beveiligingsexperts aan bepaalde maatregelen te nemen op het netwerk om schade te voorkomen. Zo zouden ze SMBv3-compressie moeten uitschakelen en tcp-poort 445 moeten blokkeren. Op dit moment lijkt het alsof Windows 10-versies 1903 en 1909 en Windows Server-versies 1903 en 1909 kwetsbaar zijn. Mogelijk komen daar nog andere versies van het besturingssysteem bij, omdat SMBv3 ook al in oudere versies zoals Windows 8 zat.

Reacties mogelijk gemaakt door CComment