Af Eskil Sørensen, 11/03/20
Ved en fejl er der blevet lækket information om en ny sårbarhed, som oprindeligt skulle have været dækket af opdateringen fra Microsofts Patch Tuesday den 10. marts. Oplysningerne blev sandsynligvis lækket, fordi rettelsen oprindelig var på Microsofts liste, men blev taget af igen, uden at partnerne i Microsoft Active Protections Program har været orienteret. Det skriver ZDNet.
Ifølge Fortinet ligger sårbarheden i Microsoft Server Message Block (SMB)-protokollen, der benyttes på forskellige installationer af Windows (PC- og serverversioner).
Paralleller til 2017
Udnyttelse af sårbarheden gør det muligt for ormeprogrammer at sprede sig fra maskine til maskine. SMB er efter det oplyste den samme protokol, som tillod NotPetya- og Wannacry-wannacry at blive spredt rundt om i verden i 2017. Men indtil videre er der ikke kendskab til udnyttelser af sårbarheden, bl.a. fordi der ikke ses kode til udnyttelse af sårbarheden, som det sås i 2017.
Tidligere har Cisco Talos (Ciscos sikkerhedsteam) offentliggjort en anbefaling til brugere om at demontere SMBv3 og blokere TCP port 445 i firewalls og computere. Denne anbefaling blev ifølge ZDNet taget ned igen, men internettet husker som bekendt alt. Er informationer først offentliggjort, er de svære at trække tilbage igen.
I mellemtiden har Microsoft ifølge Bleeping Computer offentliggjort en vejledning om, hvordan man deaktiverer SMBv3 for at beskytte servere mod angreb. Vejledning hertil fremgår af links nederst i denne artikel.
Kapløb
Man skal nok regne med, at der pt. verden over foregår et kapløb mellem forskellige god- og ondsindede aktører om at være de første til at knække koden til udnyttelse af sårbarheden. Parallelt med dette må man håbe på, at Microsoft arbejder på at færdiggøre en patch, som kan sendes ud før eller i forbindelse med næste Patch Tuesday.
Links:
https://www.itnews.com.au/news/microsoft-leaks-critical-remotely-exploitable-windows-bug-539173