DIVD-2020-00006 - SMBv3 Server Compression Transform Header Memory Corruption
| Our reference | DIVD-2020-00006 |
| Case lead | Sander Spierenburg |
| CVE(s) | |
| Product | Microsoft Server Message Block protocol |
| Versions | <ul> <li>Windows 10 1903 for 32-bit Systems</li> <li>Windows 10 1903 for x64-based Systems</li> <li>Windows 10 1903 for ARM64-based Systems</li> <li>Windows Server, version 1903 (Server Core)</li> <li>Windows 10 1909 for 32-bit Systems</li> <li>Windows 10 version 1909 for x64-based Systems</li> <li>Windows 10 version 1909 for ARM64-based Systems</li> <li>Windows Server, version 1909 (Server Core installation) </li> </ul> |
| Recommendation | Remove SMB services from the internet, block traffic from local network to the internet on port 445 |
| Patch status | Available |
| Workaround | For servers: Block port 445 or disable compression. <br> For clients: None |
| Status | Closed |
| Last modified | 12 Aug 2022 11:21 |
Update 12-3-2020
Microsoft heeft een patch gepubliceerd voor de kwetsbaarheid. We adviseren iedereen deze z.s.m. te installeren. Informatie over de patch is hier te vinden: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
Samenvatting
Op patch dinsdag 10 maart heeft Microsoft informatie gepubliceerd over een ernstige kwetsbaarheid in Microsofts Server Message Block protocol versie 3. Het betreft een buffer overflow kwetsbaarheid in het afhandelen van een speciaal gefabriceerd gecomprimeerd bestand. Hierdoor kan een aanvaller ongeautoriseerd code uitvoeren op de kwetsbare systemen.
Zowel servers als client (Windows 10) systemen zijn kwetsbaar. Voor servers is een mitigerende maatregelen beschikbaar, voor clients niet.
Wat kun u doen?
Installeer de patch van Microsoft zo snel mogelijk. Daarnaast heeft Microsoft mitigerende maatregelen voor servers gepubliceerd waarmee de impact kan worden verminderd. Door compressie op SMBv3 uit te schakelen kunnen aanvallen door ongeauthoriseerde aanvallers worden geblokkeerd. Compressie wordt momenteel nog niet actief gebruikt, uitschakelen van compressie heeft geen performance impact. Dit kan worden gerealiseerd door het volgende Powershell commando uit te voeren:
'Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 -Force'
Daarnaast:
- Schakel SMB services uit als deze niet nodig zijn.
- Beperk het gebruik van SMBv3 services mogelijk tot een minimale subset van geauthoriseerde gebruikers, systemen en/of netwerken.
- Installeer patches zodra deze beschikbaar komen
Er is verder nog geen gedetailleerde informate beschikbaar over de kwetsbaarheid. Andere bronnen met informatie over deze kwetsbaarheid zijn hier te vinden:
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
- https://fortiguard.com/encyclopedia/ips/48773
- https://www.zdnet.com/article/details-about-new-smb-wormable-bug-leak-in-microsoft-patch-tuesday-snafu/
- https://www.ncsc.nl/actueel/nieuws/2020/maart/11/kwetsbaarheid-in-microsoft-smbv3
Wat doen wij?
Op dit moment vragen we vooral uw aandacht voor deze kwetsbaarheid. De impact op server systemen die bereikbaar zijn vanaf het internet lijkt vooralsnog mee te vallen. De beschikbaarheid van SMBv3 op het internet is beperkt. Wij zullen de netwerk beheerders van deze systemen benaderen. Daarnaast vinden we dat deze kwetsbaarheid ook een potentieel ernstige bedreiging is voor de veiligheid van kantoornetwerken waar veel gebruik word gemaakt van Windows 10. Deze kwetsbaarheid is in potentie een ernstig probleem voor client systemen (voornamelijk Windows 10 maar ook servers). Het is, momenteel, niet mogelijk compressie uit te schakelen in de client implementatie van SMBv3. Het openen van een link naar een malafide SMBv3 server volstaat om ongeautoriseerd code uit te voeren op de client.
Timeline
| Date | Description |
|---|---|
| 10-3-2020 | Case geopened |
| 11-3-2020 | Security Meldpunt vraagt aandacht voor SMBv3 kwetsbaarheid |
| 11-3-2020 | DIVD heeft in samenwerking met Mark Schloesser een internetwijde scan uitgevoerd en daarbij verscheidene SMBv3 systemen gevonden die compressie ondersteunen |
| 12-3-2020 | DIVD gaat netwerkbeheerders van Nederlandse IP adressen met dergelijke servers waarschuwen. De overige adressen worden via onze internationale partners afgehandeld. |
| 12-3-2020 | Microsoft heeft een out-of-band patch gepubliceerd. |
| 3-12-2020 | Case Closed. |
English
Update 12-3-2020
Microsoft has published an out-of-band patch for this vulnerability. We advise everyone to patch as soon as possible. Information about the patch is available here: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
Summary
Microsoft released a number of patches on Tuesday 10 March. Additional information was released about an additional vulnerability in Microsoft’s Server Message Block protocol v3. The vulnerability is due to an error when the vulnerable software handles a maliciously crafted compressed data packet. A remote, unauthenticated attacker can exploit this to execute arbitrary code within the context of the application.
What you can do
Install the patch from Microsoft as soon as possible. In addition, Microsoft has stated that for servers, ‘You can disable compression to block unauthenticated attackers from exploiting the vulnerability against an SMBv3 Server’. Since compression is currently not used, disabling comrpession does not impact performce. This can be achieved by executing the following command:
'Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 -Force'
Additionally:
- Disable SMB services immediately if they are not needed
- Limit the use of any SMBv3 services to the minimal subset of authorized users/systems/networks
- Patch as soon as the security patches become available.
- Consider blocking traffic on port 445/tcp.
Right now we are asking for everyone’s attention for this vulnerability. Other sources of information can be found here:
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
- https://fortiguard.com/encyclopedia/ips/48773
- https://www.zdnet.com/article/details-about-new-smb-wormable-bug-leak-in-microsoft-patch-tuesday-snafu/
- https://www.ncsc.nl/actueel/nieuws/2020/maart/11/kwetsbaarheid-in-microsoft-smbv3 in Dutch
What we are doing
At this moment we are primarily asking for your attention for this vulnerability. At this point in time the impact on server systems seems low to moderate. This could change as exploit code becomes available. In addition, we believe that this vulnerability is also a threat to the security of office networks where Windows 10 is widely used. This vulnerability is potentially a serious threat to client systems (Mainly Windows 10, but servers as well). It is, currently, not possible to disable compression on the client side of SMBv3. Just opening a link to a malicious SMBv3 server wil be sufficient to achieve arbitrary code execution.
Timeline
| Date | Description |
|---|---|
| 10 Mar 2020 | Case opened |
| 11 Mar 2020 | Security Holtine asks for attention for the SMBv3 vulnerability |
| 11 Mar 2020 | In cooperation with Mark Schloesser, DIVD has conducted an internet-wide scan for SMBv3 servers that support compression |
| 12 Mar 2020 | The Security Hotline will warn network operators of Dutch IP addresses that have such systems. Other Ip addresses will be dealt with through our international partners |
| 12 Mar 2020 | Microsoft has published an out-of-band patch for the vulnerability |
| 03 Dec 2020 | Case Closed. |