Ernstige kwetsbaarheid in Microsoft SMBv3 Protocol

Update 24 april

Het NCSC bericht dat zij van vertrouwde bronnen bevestigd heeft gekregen dat

  • Windows 10 versies 1903, 1909 en
  • Windows Server versies 1903, 1909

kwetsbaar zijn voor CVE-2020-0796. Eerdere versies zijn volgens deze bronnen niet kwetsbaar.


Update 12 maart

Microsoft heeft beveiligingsupdates beschikbaar gesteld. Wij adviseren om deze updates te installeren.


Microsoft heeft eerder informatie over een kwetsbaarheid binnen het SMBv3 protocol publiekelijk gemaakt waar nog geen patch voor beschikbaar is. Het vermoeden is dat deze eigenlijk in de maandelijkse patchronde van afgelopen dinsdag (Patch Tuesday) had moeten zitten maar dit is niet het geval. Ook het NCSC heeft deze kwetsbaarheid geanalyseerd en geclassificeerd als HIGH/HIGH wat inhoudt dat zowel de kans op misbruik als de mogelijke impact hiervan hoog is.

Wat is het risico?

De kwetsbaarheid maakt het mogelijk voor een aanvaller om op afstand volledige controle over een computer of server te krijgen. In het verleden zijn dit soort kwetsbaarheden gebruikt om op grote schaal ransomware zoals Wannacry te verspreiden.

Wat is SMBv3?

Het SMB-protocol wordt in Windows gebruikt om bestanden te kopiëren naar bijvoorbeeld een netwerklocatie (netwerkschijf). De kwetsbaarheid treft in ieder geval Windows 10 en Windows Server 2019.

Advies

Op dit moment is er nog geen patch beschikbaar gesteld door Microsoft om de kwetsbaarheid op te lossen. Het vermoeden is dat Microsoft snel met een “noodpatch” zal komen gezien de ernst van de kwetsbaarheid. Er is wel een workaround beschikbaar voor computers die als SMB server zijn ingericht maar deze helpt niet voor computers die als SMB-client functioneren.

Op de pagina van Microsoft over dit onderwerp vind je de workaround en zullen ook de eventuele “noodpatches” beschikbaar worden gesteld. Het advies is deze patches zo snel mogelijk te installeren zodra deze beschikbaar zijn.

Hoewel het niet gebruikelijk is om een SMB server open te stellen of computers binnen je organisatie verbindingen te laten maken met deze server vanaf het internet komt dit toch voor. Vraag je IT dienstverlener om dit soort verkeer naar en van het internet te blokkeren of lees op deze Microsoft pagina meer informatie.