Уязвимость DoS в Windows SMBv3 из-за некорректной обработки протоколом определенных запросов протоколом
Описание
Аутентифицированный злоумышленник, успешно использующий эту уязвимость против SMB-сервера, способен вызвать аварийное завершение работы системы. Неаутентифицированный злоумышленник тоже может воспользоваться этой уязвимостью против SMB-клиента, провоцируя аварийное завершение работы системы.
Условия эксплуатации
- Для эксплуатации уязвимости против сервера: злоумышленник с аутентификацией может отправить специально сформированный пакет на целевой SMBv3 сервер.
- Для эксплуатации уязвимости против клиента: неавторизованному злоумышленнику необходимо настроить вредоносный SMBv3 сервер и убедить пользователя подключиться к нему.
Решение
Обновление безопасности устраняет уязвимость путем исправления обработки этих специально сформированных запросов протоколом SMBv3.
Меры защиты
В вашей ситуации может оказаться полезным следующие меры защиты. В любом случае Microsoft настоятельно рекомендует установить обновления для этой уязвимости, как только они станут доступны, даже если вы планируете использовать это обходное решение:
Отключение сжатия SMBv3
Вы можете отключить сжатие, чтобы заблокировать неавторизованным злоумышленникам возможность эксплуатации уязвимости против SMBv3 сервера, используя следующую команду PowerShell:
Примечания:
- Перезагрузка не требуется после выполнения изменений.
- Этот способ не предотвращает эксплуатацию клиентских компонентов; пожалуйста, следуйте пункту 2 в разделе FAQ для защиты клиентов.
- Сжатие SMB пока не используется в Windows или Windows Server, поэтому его отключение не оказывает отрицательного влияния на производительность.
Вы можете отключить этот защитный метод командой PowerShell:
Примечание:
Перезагрузка не требуется после отключения защитного метода.
Часто задаваемые вопросы (FAQ)
Какие шаги я могу предпринять для защиты своей сети?
-
Блокировать TCP порт 445 на периметре корпоративного брандмауэра
TCP порт 445 используется для инициирования соединений с уязвимым компонентом. Блокировка этого порта на периферийном брандмауэре сети поможет защитить системы, находящиеся за ним, от попыток эксплуатации этой уязвимости. Это защитит сеть от атак, исходящих извне корпоративного периметра, однако системы могут оставаться уязвимыми для атак изнутри.
-
Следовать руководству Microsoft по предотвращению передачи трафика SMB через боковые соединения и для исключения его входа или выхода из сети
Windows Server, версия 2004 (установка Server Core) находится в таблице обновлений безопасности. Подвержена ли версия 2004 Windows Server, не являющаяся установленной как Server Core, этой уязвимости?
Нет. Windows Server, версия 2004 была выпущена в рамках канала Semi-Annual Channel (SAC). Таким образом, доступна только установка Server Core. Для получения дополнительной информации о каналах обслуживания, пожалуйста, ознакомьтесь с разделом Сервисы каналов-19.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 Version 2004 for 32-bit Systems | ||
| Windows 10 Version 2004 for ARM64-based Systems | ||
| Windows 10 Version 2004 for x64-based Systems | ||
| Windows Server, version 2004 (Server Core installation) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
7.5 High
CVSS3
Связанные уязвимости
A denial of service vulnerability exists in the way that the Microsoft Server Message Block 3.1.1 (SMBv3) protocol handles certain requests, aka 'Windows SMBv3 Client/Server Denial of Service Vulnerability'.
A denial of service vulnerability exists in the way that the Microsoft Server Message Block 3.1.1 (SMBv3) protocol handles certain requests, aka 'Windows SMBv3 Client/Server Denial of Service Vulnerability'.
Уязвимость реализации сетевого протокола Server Message Block (SMBv3) операционных систем Microsoft Windows, позволяющая нарушителю вызвать отказ в обслуживании
EPSS
7.5 High
CVSS3