Ernstig ongepatched lek in SMB v3 / Critical unpatched vulnerability in SMB v3
12 Mar 2020 - Frank Breedijk
Nederlands
Op patch dinsdag van 10 maart heeft Microsoft informatie gepubliceerd over een ernstige kwetsbaarheid in Microsofts Server Message Block protocol versie 3 (SMBv3). Het betreft een Buffer Overflow kwetsbaarheid in het afhandelen van een speciaal gefabriceerd gecomprimeerd bestand. Hierdoor kan een aanvaller ongeautoriseerd code uitvoeren op de kwetsbare systemen.
Op het moment van schrijven is er nog geen bekende exploit beschikbaar voor deze kwetsbaarheid maar het Security Meldpunt onderzoekt de kwetsbaarheid en het mogelijk voorkomen van kwetsbare systemen in Nederland.
Deze kwetsbaarheid is een risico voor SMBv3 systemen die bereikbaar zijn vanaf het internet, een configuratie die per definitie nieta an te raden is. Het vormt ook een intern beveiligingsrisico voor bedrijfsnetwerken. Daarnaast is de kwetsbaarheid een ernstige dreiging voor client systemen (voornamelijk Windows 10, maar ook servers) omdat het bezoeken van een linkje naar een malafine server voldoende is om code op de client uit te voeren.
We gaan beheerders van Nederlandse IP addressen met een bereikbaar SMBv3 systeem met ingeschakelde compressie waarschuwen.
Meer informatie en advies wordt bijgewerkt op de case pagina
English
Microsoft released a number of patches on Tuesday, 10 March. For an unknown reason, Cisco Talos and Fortinet have published additional information with data about a vulnerability in Microsoft’s Server Message Block protocol. The vulnerability is due to an error when the vulnerable software handles a maliciously crafted compressed data packet. A remote, unauthenticated attacker can exploit this to execute arbitrary code within the context of the application.
At the time of writing no know exploits are detected in the wild but we are monitoring and investigating the situation in the Netherlands.
This vulnerability poses a risk to SMBv3 servers that are reachable from the internet, a configuration that is not recommended by defintion. It also poses a risk to the internal security of company networks. Besides that it is a serious threat to clinet systems (mostly Windows 10, but also servers) because just visiting a link to a malicious SMBv3 server is sufficient to execute code on the client.
We are going to warn operators of networks with Dutch IP addresses with accessible SMBv3 systems with compression enabled.
Up to date information and advice will be maintained on the case page
Last modified: 18 Jan 2023 13:28 CET