CVE-2016-3345

Описание

В операционных системах Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 существует уязвимость, связанная с удаленным выполнением кода. Эта уязвимость возникает из-за того, что сервер Microsoft Server Message Block 1.0 (SMBv1) некорректно обрабатывает определенные запросы, когда аутентифицированный злоумышленник отправляет специально сформированные пакеты на сервер SMBv1.

Уязвимость не затрагивает другие версии сервера SMB.

В более поздних операционных системах злоумышленник, успешно эксплуатировавший эту уязвимость, способен вызвать остановку ответа системы до ее ручной перезагрузки.

Условия эксплуатации

Чтобы эксплуатировать эту уязвимость, злоумышленнику необходимо сначала авторизоваться на сервере SMBv1 и иметь разрешение на открытие файлов на целевом сервере перед началом атаки.

Решение

Обновление безопасности устраняет уязвимость путем корректировки обработки сервером Microsoft SMBv1 специально сформированных запросов.

Способы защиты

Отключение SMBv1

• Для клиентов, использующих Windows Vista и более поздние версии

  • См. статью базы знаний Microsoft 2696547.

• Альтернативный метод для клиентов, использующих Windows 8.1 или Windows Server 2012 R2 и более поздние версии

Для клиентских операционных систем:

1. Откройте Панель управления, нажмите Программы, затем Включение или отключение компонентов Windows.
2. В окне Компоненты Windows снимите флажок Поддержка общего доступа к файлам SMB1.0/CIFS и нажмите ОК для закрытия окна.
3. Перезагрузите систему.

Для серверных операционных систем:

1. Откройте Диспетчер сервера, затем в меню Управление выберите Удалить роли и компоненты.
2. В окне Компоненты снимите флажок Поддержка общего доступа к файлам SMB1.0/CIFS и нажмите ОК для закрытия окна.
3. Перезагрузите систему.

Влияние защиты

Протокол SMBv1 будет отключен на целевой системе.

Как отменить защиту

Повторите шаги защиты, выберите флажок Поддержка общего доступа к файлам SMB1.0/CIFS для восстановления активации функции.

Часто задаваемые вопросы (FAQ)

Какие версии SMB подвержены этой уязвимости? Эта уязвимость затрагивает только SMBv1.

В чем разница между SMBv1 и SMBv2? Оба протокола используются клиентами для запроса файловых и печатных услуг от серверной системы через сеть. Оба являются состоянием зависимыми протоколами, где клиенты устанавливают соединение с сервером, создают аутентифицированный контекст на этом соединении и затем выполняют различные запросы для доступа к файлам, принтерам и именованным каналам для межпроцессного взаимодействия. Протокол SMBv2 является крупной ревизией существующего протокола SMB. Хотя многие базовые концепции остаются прежними, форматы пакетов полностью различаются. В дополнение ко всем возможностям SMBv1, протокол SMBv2 включает несколько улучшений:

• Возможность восстановления доступа к файлу после временного разрыва соединения.
• Возможность балансировки сервером количества одновременных операций, выполняемых клиентом.
• Обеспечение масштабируемости по числу общих ресурсов, пользователей и одновременно открытых файлов.
• Поддержка символических ссылок.
• Использование более сильного алгоритма для верификации целостности запросов и ответов.