Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kriittinen haavoittuvuus Microsoftin SMBv3-toteutuksessa

Haavoittuvuus7/2020

Julkaistu
Päivitetty

Microsoft Windows-käyttöjärjestelmässä laajalti käytössä olevasta SMBv3:sta on löytynyt kriittinen haavoittuvuus, jonka avulla hyökkääjä voi verkon välityksellä suorittaa antamaansa ohjelmakoodia ilman tunnistautumista kohdejärjestelmässä. Haavoittuvuuteen julkaistiin korjaava ohjelmistopäivitys 12.3.

Microsoft Windows-käyttöjärjestelmässä käytetty hajautettu tiedostojärjestelmä Server Message Block 3.1.1 (SMBv3) on laajalti käytössä oleva protokolla muun muassa verkkolevyjen jakamiseen organisaatioiden sisällä. Microsoftin haavoittuvuustutkijat ovat löytäneet protokollasta kriittisen haavoittuvuuden, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen ilman tunnistautumista. Haavoittuvuutta hyväksikäyttävä ohjelmakoodi julkaistiin 3.6.20202. Tämäntyyppisiä haavoittuvuuksia on mahdollista hyödyntää itsestään leviävän haittaohjelman laatimiseen. 

Haavoittuvuuden hyödyntäminen palvelimessa vaatii tietynlaisen yhteyden muodostamisen SMBv3-palvelimeen. Hyödyntäminen loppukäyttäjäsovelluksissa edellyttää loppukäyttäjän muodostamaa yhteyttä hyökkääjän SMBv3-palvelimeen. 

Päivitys 12.3: Microsoft julkaisi korjauspäivityksen 12.3. klo 17 Suomen aikaa. Alunperin haavoittuvuudelle ei ollut korjausta.

Päivitys 6.6: Haavoittuvuudelle julkaistiin toimiva hyväksikäyttökoodi 3.6.2020.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia

Vaikutukset

  • Palvelunestohyökkäys
  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvuuden kohde

  • Windows 10 versio 1903
  • Windows 10 versio 1909
  • Windows Server, versio 1903
  • Windows Server, versio 1909

Mistä on kysymys?

Asenna korjauspäivitys

Microsoft julkaisi korjauksen haavoittuvuudelle 12.3.

Ota SMBv3-pakkaus pois käytöstä

Ottamalla SMBv3-pakkauksen pois käytöstä voi estää haavoittuvuuden hyödntämisen palvelimissa. Pakkauksen voi poistaa käytöstä PowerShell-komennolla:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Komento ei vaadi uudelleenkäynnistystä. Komento ei suojaa loppukäyttäjäsovelluksia haavoittuvuudelta.

Kun päivitys on asennettu, voi pakkauksen kytkeä takaisin päälle PowerShell-komennolla:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Estä TCP portti 445 yrityksen edustapalomuureissa

Portin sulkeminen estää haavoittuvuuden hyväksikäytön. Haavoittuvuutta voi kuitenkin hyödyntää organisaation sisäverkosta.

Mitä voin tehdä?

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 (Ulkoinen linkki)

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005 (Ulkoinen linkki)

Lisätty tieto Microsoftin 12.3. julkaisemasta korjauspäivityksestä.

Haavoittuvuuden havainnollistava esimerkkikoodi on julkaistu 15.3.

Haavoittuvuudelle on julkaistu toimiva hyväksikäyttökoodi 3.6.2020.