Windows 10 têm falha de segurança sem previsão de correção

Na terça-feira (10), a Microsoft divulgou uma nova vulnerabilidade de segurança que afeta o Windows 10 e o Windows Server 2019, na implementação do serviço SMBv3 (Server Message Block) build 3.1.1. A falha é do mesmo tipo que foi explorada anteriormente pelos malwares WannaCry e NotPetya, em ataques que causaram prejuízos em redes corporativas de todo o mundo.

O SMBv3 é um serviço utilizado para o compartilhamento de recursos em redes locais e pela internet, como arquivos, impressoras, entre outros.

Fonte: Software Testing News/Reprodução

Como a falha ocorre

A vulnerabilidade recebeu o código de identificação CVE-2020-0796. Ela ocorre devido a um erro quando o software vulnerável lida com um pacote de dados compactados criado com códigos maliciosos. Se explorada com sucesso, um invasor remoto e não autenticado poderia executar código arbitrário no contexto do aplicativo.

A falha é considerada potencialmente séria, pois a exploração em uma única máquina poderia desencadear uma reação em cadeia, afetando todas as outras máquinas da rede sem a necessidade de intervenção de administradores e/ou usuários.

O estranho, neste caso, é que a empresa de segurança Fortinet e a equipe de segurança Talos, da Cisco, chegaram a publicar sobre a vulnerabilidade, mas logo em seguida apagaram as postagens, sobrando somente a publicação da própria Microsoft.

Sem patch de correção: O que fazer?

Hoje em dia, o SMBv3 é muito menos utilizado do que o SMBv1, que foi explorado pelo WannaCry e pelo NotPetya. De qualquer forma, se a nova falha fosse explorada, poderia comprometer redes inteiras de computadores.

Em sua publicação, a Microsoft não deu nenhuma previsão de quando vai liberar um patch de correção para o Windows, mas recomenda aos administradores desativar a compactação nos servidores vulneráveis, além de bloquear a porta TCP 445 em firewalls e máquinas clientes.

É possível desativar a compactação no SMBv3 com o comando abaixo:

Set-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” DisableCompression -Type DWORD -Value 1 -Force

A desabilitação é feita instantaneamente e não requer reinicialização do sistema.