Компания Microsoft выпустила патч для критической уязвимости CVE-2020-0796 в сетевом протоколе SMB 3.1.1.
В сети появилась информация об RCE-уязвимости CVE-2020-0796 в операционных системах Windows 10 и Windows Server, затрагивающей протокол Microsoft Server Message Block 3.1.1 (SMBv3). По информации компании Microsoft, потенциальный атакующий может использовать эту уязвимость для того, чтобы исполнить произвольный код на стороне SMB-сервера или SMB-клиента. Однако если для атаки на сервер достаточно послать на него специально созданный пакет, то для атаки на клиент злоумышленникам придется сконфигурировать вредоносный SMBv3-сервер и как-то убедить пользоваться подключиться к нему.

Специалисты по информационной безопасности считают, что данная уязвимость может быть использована для запуска червя, аналогичного WannaCry. Microsoft присваивает уязвимости критический рейтинг, то есть озаботиться ее закрытием стоит максимально срочно.
SMB — сетевой протокол для удалённого доступа к файлам, принтерам и прочим сетевым ресурсам. Он используется для реализации «Сети Microsoft Windows» и «Совместного использования файлов и принтеров». Если в вашей компании эти функции используются — это повод побеспокоиться.

Поскольку Microsoft Server Message Block 3.1.1 — сравнительно свежий протокол, он используется только в новых операционных системах:

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
То есть Windows 7, 8, 8.1 и более старые уязвимость не затрагивает. Однако поскольку большинство современных компьютеров работает под управлением Windows 10 с автоматической установкой обновлений, то, вероятно, уязвимости подвержено очень много компьютеров по всему миру – как домашних, так и корпоративных.
По данным Microsoft, уязвимость CVE-2020-0796 пока что не используется для атак – по крайней мере, таких атак пока никто не наблюдал.

Но проблема в том, что информация об уязвимости находится в общем доступе с 10 марта, так что эксплойты могут появиться с минуты на минуту, если еще не появились.
компания Microsoft выпустила обновление безопасности, которое должно закрыть эту уязвимость
Скачать патч можно вот здесь. https://portal.msrc.microsoft.com/en-US … -2020-0796
Пока патча не существовало, приходилось использовать обходные пути. Компания Microsoft предлагала временное решение, блокирующее возможность эксплуатации этой уязвимости.
Для SMB-сервера:
Заблокировать эксплуатацию уязвимости можно при помощи powershell-команды:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» DisableCompression -Type DWORD -Value 1 –Force

Для SMB-клиентов:
Как и в случае с WannaCry, предлагают блокировать TCP-порт 445 на файерволле, работающем на периметре компании.
Также обязательно используйте надежное защитное решение, например такое, как Kaspersky Endpoint Security для бизнеса. Помимо прочих технологий, в нем работает подсистема Exploit Prevention, которая поможет защититься даже от неизвестных уязвимостей.
источник https://www.kaspersky.ru/blog/smb-311-v … ity/27594/