Kriittinen haavoittuvuus Microsoftin SMBv3-toteutuksessa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus Microsoftin SMBv3-toteutuksessa

11. maaliskuuta 2020 klo 14.31, päivitetty 6. kesäkuuta 2020 klo 12.15

Microsoft Windows-käyttöjärjestelmässä laajalti käytössä olevasta SMBv3:sta on löytynyt kriittinen haavoittuvuus, jonka avulla hyökkääjä voi verkon välityksellä suorittaa antamaansa ohjelmakoodia ilman tunnistautumista kohdejärjestelmässä. Haavoittuvuuteen julkaistiin korjaava ohjelmistopäivitys 12.3.

Microsoft Windows-käyttöjärjestelmässä käytetty hajautettu tiedostojärjestelmä Server Message Block 3.1.1 (SMBv3) on laajalti käytössä oleva protokolla muun muassa verkkolevyjen jakamiseen organisaatioiden sisällä. Microsoftin haavoittuvuustutkijat ovat löytäneet protokollasta kriittisen haavoittuvuuden, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen ilman tunnistautumista. Haavoittuvuutta hyväksikäyttävä ohjelmakoodi julkaistiin 3.6.20202. Tämäntyyppisiä haavoittuvuuksia on mahdollista hyödyntää itsestään leviävän haittaohjelman laatimiseen. 

Haavoittuvuuden hyödyntäminen palvelimessa vaatii tietynlaisen yhteyden muodostamisen SMBv3-palvelimeen. Hyödyntäminen loppukäyttäjäsovelluksissa edellyttää loppukäyttäjän muodostamaa yhteyttä hyökkääjän SMBv3-palvelimeen. 

Päivitys 12.3: Microsoft julkaisi korjauspäivityksen 12.3. klo 17 Suomen aikaa. Alunperin haavoittuvuudelle ei ollut korjausta.

Päivitys 6.6: Haavoittuvuudelle julkaistiin toimiva hyväksikäyttökoodi 3.6.2020.

Haavoittuvuuden kohde

  • Windows 10 versio 1903
  • Windows 10 versio 1909
  • Windows Server, versio 1903
  • Windows Server, versio 1909
     

Mistä on kysymys?

Asenna korjauspäivitys

Microsoft julkaisi korjauksen haavoittuvuudelle 12.3.

Ota SMBv3-pakkaus pois käytöstä

Ottamalla SMBv3-pakkauksen pois käytöstä voi estää haavoittuvuuden hyödntämisen palvelimissa. Pakkauksen voi poistaa käytöstä PowerShell-komennolla:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Komento ei vaadi uudelleenkäynnistystä. Komento ei suojaa loppukäyttäjäsovelluksia haavoittuvuudelta.

Kun päivitys on asennettu, voi pakkauksen kytkeä takaisin päälle PowerShell-komennolla:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Estä TCP portti 445 yrityksen edustapalomuureissa

Portin sulkeminen estää haavoittuvuuden hyväksikäytön. Haavoittuvuutta voi kuitenkin hyödyntää organisaation sisäverkosta.

Mitä voin tehdä?

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

12. maaliskuuta 2020 klo 17.37 Lisätty tieto Microsoftin 12.3. julkaisemasta korjauspäivityksestä.