CVE-2020-1206

Описание

Злоумышленник, успешно воспользовавшийся уязвимостью, способен получить информацию для дальнейшей компрометации системы пользователя.

Условия эксплуатации

Для эксплуатации уязвимости в отношении сервера, злоумышленник может отправить специально сформированный пакет на целевой SMBv3 сервер. Для эксплуатации в отношении клиента, злоумышленник должен настроить вредоносный SMBv3 сервер и убедить пользователя подключиться к нему.

Решение

Обновление безопасности устраняет уязвимость путем корректировки обработки протоколом SMBv3 этих специально сформированных запросов.

Меры защиты

Следующая мера защиты может быть полезна в вашей ситуации. Во всех случаях Microsoft настоятельно рекомендует установить обновления для этой уязвимости, как только они станут доступны, даже если вы планируете оставить этот способ защиты включенным:

• Отключение сжатия SMBv3 Вы можете отключить сжатие, чтобы предотвратить злоумышленников от эксплуатации уязвимости против SMBv3 сервера, используя приведенную ниже команду PowerShell:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

  Примечания:

  1. Перезагрузка не требуется после изменения.
  2. Этот способ защиты не предотвращает эксплуатацию клиентов SMB; пожалуйста, обратитесь к пункту 2 в разделе FAQ для защиты клиентов.
  3. Сжатие SMB еще не используется в Windows или Windows Server, и отключение сжатия SMB не оказывает негативного влияния на производительность.

  Отключить способ защиты можно с помощью следующей команды PowerShell:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

  Примечание: Перезагрузка не нужна после отключения способа защиты.

Часто задаваемые вопросы (FAQ)

Какой тип информации способен быть раскрыт при помощи этой уязвимости?

Тип информации, который может быть раскрыт, если злоумышленник успешно воспользуется этой уязвимостью, — неинициализированная память.

Какие шаги я могу предпринять для защиты своей сети?

1. Заблокируйте TCP порт 445 на периферийном маршрутизаторе предприятия.
TCP порт 445 используется для установки соединения с уязвимым компонентом. Блокировка этого порта на периферийном маршрутизаторе сети поможет защитить системы, находящиеся за этим маршрутизатором, от попыток эксплуатации этой уязвимости. Это поможет защитить сети от атак, возникающих за пределами корпоративного периметра. Однако системы все еще могут быть уязвимы для атак внутри их корпоративного периметра.

2. Следуйте рекомендациям Microsoft, чтобы предотвратить SMB-трафик от боковых соединений и попадания в или из сети.
Предотвращение SMB-трафика от боковых соединений и попадания в или из сети

Затрагивает ли эта уязвимость более старые версии Windows (отличные от указанных в таблице обновлений безопасности)?

Нет, уязвимость существует в новой функции, которая была добавлена в Windows 10 версии 1903. Более старые версии Windows не поддерживают сжатие SMBv3.1.1 и не подвержены уязвимости.

В версии Windows Server 1903 (установка Server Core) и Windows Server версии 1909 (установка Server Core) находятся в таблице обновлений безопасности. Подвержены ли уязвимости версии Windows Server 1903 и Windows Server 1909, которые не установлены как Server Core? Нет. Windows Server версии 1903 и 1909 были выпущены в рамках канала Semi-Annual Channel (SAC). Таким образом, доступна только установка Server Core. Для получения дополнительной информации о каналах обслуживания Windows, пожалуйста, смотрите Каналы обслуживания-19.