Nieuwe kritieke kwetsbaarheid SMBleed te combineren met SMBGhost

Er is een nieuwe kritieke kwetsbaarheid ontdekt door Cybersecurity onderzoekers, deze kwetsbaarheid heeft impact op het Server Message Block (SMB) protocol. Cybersecurity bedrijf ZecOps heeft de kwetsbaarheid de naam SMBleed gegeven en CVE-2020-1206 is toegewezen aan de kwetsbaarheid.

SMBleed kan ervoor zorgen dat aanvallers op afstand het memory van de kernel kunnen lekken en kan gecombineerd worden met de eerder dit jaar bekend geworden kritieke kwetsbaarheid SMBGhost/EternalDarkness (CVE-2020-0796), om zo Remote Code Execution (RCE) aanvallen uit te voeren. De SMBleed kwetsbaarheid bevind zich net als de SMBGhost kwetsbaarheid in de decompressie functie van het SMB protocol.

SMB is een netwerk protocol dat de basis levert voor het delen van bestanden, browsen van het netwerk, printservices en interproces communicatie over een netwerk. Het protocol draait op TCP poort 445.

Welke versies zijn kwetsbaar?

De volgende Windows versies zijn kwetsbaar voor SMBleed (CVE-2020-1206):

  • Windows 10 versie 2004;
  • Windows 10 versie 1909;
  • Windows 10 versie 1903;
  • Windows Server versie 2004;
  • Windows Server versie 1909;
  • Windows Server versie 1903.

De volgende Windows versies zijn kwetsbaar voor SMBGhost/EternalDarkness (CVE-2020-0796):

  • Windows 10 versie 1909;
  • Windows 10 versie 1903;
  • Windows Server versie 1909;
  • Windows Server versie 1903.

ZecOps heeft ook een gedetailleerd schema uitgebracht waarin per KB nummer staat welke Windows versie kwetsbaar is:

windows security

Meer informatie over SMBleed

De Cybersecurity onderzoekers van ZecOps geven aan dat de kwetsbaarheid afkomstig is van hoe de decompressie functie (“Srv2DecompressData“) omgaat met speciaal gemaakte berichtverzoeken (zoals SMB2 WRITE), welke gestuurd kunnen worden naar een kwetsbare SMBv3 server. Hierdoor kan een aanvaller niet geïnitialiseerde kernel memory lezen en aanpassingen doen aan de compressie functie.

De structuur van het bericht bevat velden, zoals het aantal bytes om te schrijven en “flags”, gevolgd door een variabele lengte buffer. Volgens de onderzoekers is dit ideaal om misbruik te maken van de kwetsbaarheid, omdat ze een bericht kunnen maken, waarbij de header wordt gespecificeerd, maar de variabele lengte buffer bevat niet geïnitialiseerde data.

Een aanvaller die er in slaagt om misbruik te maken van de kwetsbaarheid, heeft de mogelijkheid om informatie te verkrijgen om het systeem van een gebruiker nog verder te compromitteren.

Om misbruik te maken van de kwetsbaarheid tegen een server, kan een ongeauthentiseerde aanvaller een speciaal gemaakt pakket naar een kwetsbare SMBv3 server sturen. In tegenstelling tot het misbruiken van de kwetsbaarheid tegenover een client, waarbij een ongeauthentiseerde aanvaller een kwaadaardige SMBv3 server moet configureren en een gebruiker moet overhalen om er verbinding mee te maken. Dat geeft Microsoft aan in hun advisory.

Wordt de kwetsbaarheid actief misbruikt?

Op dit moment is er al een Proof-of-Concept (PoC) beschikbaar voor SMBleed, beschikbaar gesteld door ZecOps. In het onderstaande plaatje is een impressie hoe de kwetsbaarheid werkt. Microsoft geeft aan in hun advisory dat de kans dat er misbruik gemaakt gaat worden van de kwetsbaarheid nu waarschijnlijker is, maar er is op dit moment nog niet bekend dat er misbruik wordt gemaakt van de kwetsbaarheid.

demo

Ook is er door ZecOps een PoC beschikbaar gesteld die SMBleed en SMBGhost combineert. Hiermee wordt het mogelijk een RCE uit te voeren. Binnenkort maken ze meer technische details bekend over deze PoC. Door een null dereference kwetsbaarheid is Windows versie 1903 niet kwetsbaar, wanneer deze nog niet de update (KB4512941) heeft gehad. Er is nog niet bekend of er actief misbruik wordt gemaakt van deze PoC. Ook hieronder is een impressie van de kwetsbaarheid.

Een PoC voor SMBGhost is afgelopen week uitgebracht door een gebruiker met als naam “Chompie”. Volgens Cybersecurity and Infrastructure Security Agengy (CISA) wordt er actief misbruik gemaakt van deze PoC door kwaadaardige cyber-actoren. Welke deze PoC gebruiken tegen ongepatchte systemen, de CISA heeft deze informatie verkregen via opensource rapporten. Met deze PoC is het mogelijk om een RCE uit te voeren op het systeem van een slachtoffer.

Updates beschikbaar?

Om niet meer kwetsbaar voor alle kwetsbaarheden te zijn moet de volgende KB updates (welke met de patch Tuesday van juni 2020 zijn uitgekomen) geïnstalleerd worden, afhankelijk van de Windows versie:

  • Windows 10 versie 2004 – KB 4557957;
  • Windows 10 versie 1909 – KB 4560960;
  • Windows 10 versie 1903 – KB 4560960;
  • Windows Server versie 2004 – KB 4557957;
  • Windows Server versie 1909 – KB 4560960;
  • Windows Server versie 1903 – KB 4560960.

Om alleen de SMBGhost kwetsbaarheid te verhelpen, moet op kwetsbare systemen de KB 4551762 geïnstalleerd worden. Deze is door Microsoft op 12 maart 2020 uitgebracht voor Windows versies 1903 en 1909.

Workaround beschikbaar?

In geval het niet mogelijk is om op dit moment direct te updaten, wordt er aangeraden om mitigatie stappen uit te voeren.

Om te blokkeren dat ongeauthentiseerde aanvallers misbruik kunnen maken van de kwetsbaarheid op een SMBv3 server, wordt er aangeraden om compressie uit te schakelen via het volgende PowerShell commando:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

Deze workaround kan weer uitgeschakeld worden met het volgende PowerShell commando:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force

In beide gevallen is er geen reboot nodig van de machine, wel is het belangrijk om te weten dat dit niet werkt voor het misbruik van SMB clients.

Andere stappen die genomen kunnen worden:

  1. Blokkeren van TCP poort 445 bij Enterprise perimeter firewall, hierdoor kunnen aanvallen van buiten het netwerk niet uitgevoerd worden. Aanvallen binnen het netwerk zijn hiermee nog steeds mogelijk.
  2. Microsoft heeft daarnaast ook richtlijnen uitgebracht voor het voorkomen van laterale connecties en dat SMB-verkeer het netwerk binnenkomt of verlaat.

Advies

Er wordt aan iedereen geadviseerd die gebruik maakt van een kwetsbare Windows versie en de updates van de patch Tuesday van juni 2020 nog niet heeft geïnstalleerd, om deze z.s.m. te installeren op alle apparaten die gebruik maken van deze kwetsbare Windows versies.

Voor iedereen die nog niet gelijk de updates kan installeren, wordt er aangeraden om de workaround te volgen en de installatie van de updates uit te voeren, wanneer dit wel mogelijk is.

Het is ook mogelijk om alleen de update te installeren om niet meer kwetsbaar te zijn voor de SMBGhost kwetsbaarheid (wanneer dit nog niet gedaan is), waarvoor nu een PoC beschikbaar is die actief wordt misbruikt, maar dit raden wij bij voorkeur af, omdat met het installeren van de laatste updates van de patch Tuesday van juni 2020 (en alle tussenliggende updates) ervoor zorgt dat er ook veel andere kwetsbaarheden worden gepatcht, aangezien met de security updates van juni al 129 kwetsbaarheden worden gepatcht. Waarmee met het patchen van alleen de SMBGhost kwetsbaarheid, de systemen voor alle deze kwetsbaarheden, kwetsbaar blijven.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

VMware Cloud Director volledig over te nemen door kritieke kwetsbaarheid
50% van de Oracle EBS klanten heeft kritieke patch nog niet geïnstalleerd

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

10 − negen =

Menu