Microsoft heeft een buitengewone patch uitgebracht voor een kwetsbaarheid in het SMBv3-protocol, die eerder deze week per ongeluk vroegtijdig publiek werd gemaakt.
De noodpatch (KB4551762) is beschikbaar voor Windows 10 versies 1903 en 1909, en Windows Server 2019 versies 1903 en 1909. Oudere versies zijn niet kwetsbaar. De bug in kwestie is onderdeel van een nieuwe functionaliteit die pas in Windows 10 1903 werd toegevoegd.
De kwetsbaarheid (CVE-2020-0796) staat bekend onder de naam SMBGhost en situeert zich in het SMBv3-protocol, dat wordt gebruikt voor het delen van onder meer bestanden en printers binnen een lokaal netwerk en over het internet. De bug laat toe om te verbinden met een computer waarop de SMB-service actief is en code uit te voeren met systeemrechten. Daardoor kan een aanvaller de controle over het systeem vanop afstand overnemen.
Details over de kwetsbaarheid kwamen eerder deze week naar buiten, als gevolg van wat volgens ZDNet een miscommunicatie tussen Microsoft en enkele antivirusleveranciers lijkt te zijn. Hoewel een patch aanvankelijk nog niet voor deze maand stond gepland, werd Microsoft gedwongen sneller te handelen nadat verschillende securitybedrijven openlijk over de bug communiceerden.
Worm
Volgens experts kan de kwetsbaarheid worden misbruikt om een SMB-worm te ontwikkelen met vergelijkbare capaciteiten om zichzelf te verspreiden als EternalBlue, dat onder meer werd gebruikt in de WannaCry- en NotPetya-aanvallen. Volgens onderzoek van securitybedrijf Kryptos Logic zijn zeker 48.000 kwetsbare servers via het internet blootgesteld aan een potentiële aanval.
Verschillende security-onderzoekers wijzen erop dat het lek niet moeilijk te vinden is en er doen zelfs al proof-of-concepts van exploits de ronde. Het advies luidt dan ook om de noodpatch zo snel mogelijk te installeren op getroffen systemen. Gebruikers die niet meteen kunnen updaten, kunnen terecht bij dit advies van Microsoft voor een tijdelijke workaround.