Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen haavoittuvuus Microsoftin SMBv3-toteutuksessa

Haavoittuvuus7/2020

Microsoft Windows-käyttöjärjestelmässä laajalti käytössä olevasta SMBv3:sta on löytynyt kriittinen haavoittuvuus, jonka avulla hyökkääjä voi verkon välityksellä suorittaa antamaansa ohjelmakoodia ilman tunnistautumista kohdejärjestelmässä. Haavoittuvuuteen julkaistiin korjaava ohjelmistopäivitys 12.3.

Microsoft Windows-käyttöjärjestelmässä käytetty hajautettu tiedostojärjestelmä Server Message Block 3.1.1 (SMBv3) on laajalti käytössä oleva protokolla muun muassa verkkolevyjen jakamiseen organisaatioiden sisällä. Microsoftin haavoittuvuustutkijat ovat löytäneet protokollasta kriittisen haavoittuvuuden, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen ilman tunnistautumista. Haavoittuvuudelle ei ole tiedossa olevia hyväksikäyttökeinoja. Tämäntyyppisiä haavoittuvuuksia on mahdollista hyödyntää itsestään leviävän haittaohjelman laatimiseen. 

Haavoittuvuuden hyödyntäminen palvelimessa vaatii tietynlaisen yhteyden muodostamisen SMBv3-palvelimeen. Hyödyntäminen loppukäyttäjäsovelluksissa edellyttää loppukäyttäjän muodostamaa yhteyttä hyökkääjän SMBv3-palvelimeen. 

Päivitys 12.3: Microsoft julkaisi korjauspäivityksen 12.3. klo 17 Suomen aikaa. Alunperin haavoittuvuudelle ei ollut korjausta.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia

Vaikutukset

  • Komentojen mielivaltainen suorittaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

  • Windows 10 versio 1903
  • Windows 10 versio 1909
  • Windows Server, versio 1903
  • Windows Server, versio 1909

Ratkaisu- ja rajoitusmahdollisuudet

Asenna korjauspäivitys

Microsoft julkaisi korjauksen haavoittuvuudelle 12.3.

Ota SMBv3-pakkaus pois käytöstä

Ottamalla SMBv3-pakkauksen pois käytöstä voi estää haavoittuvuuden hyödntämisen palvelimissa. Pakkauksen voi poistaa käytöstä PowerShell-komennolla:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Komento ei vaadi uudelleenkäynnistystä. Komento ei suojaa loppukäyttäjäsovelluksia haavoittuvuudelta.

Kun päivitys on asennettu, voi pakkauksen kytkeä takaisin päälle PowerShell-komennolla:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Estä TCP portti 445 yrityksen edustapalomuureissa

Portin sulkeminen estää haavoittuvuuden hyväksikäytön. Haavoittuvuutta voi kuitenkin hyödyntää organisaation sisäverkosta.

Lisätietoja

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 (Ulkoinen linkki)

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005 (Ulkoinen linkki)

Lisätty tieto Microsoftin 12.3. julkaisemasta korjauspäivityksestä.

Haavoittuvuuden havainnollistava esimerkkikoodi on julkaistu 15.3.