Uma nova vulnerabilidade afeta as versões 1903 e 1909 do Windows 10 e Windows Server. Identificada como CVE-2020-0796, ela explora uma falha na versão 3 do protocolo SMB (SMBv3), usado em sistemas Windows para compartilhamento de arquivos, impressoras e outros recursos, e permite a execução de código tanto em clientes quanto em servidores vulneráveis.
Segundo a Microsoft, a vulnerabilidade é decorrente da forma como o SMBv3 lida com compressão de dados. Ainda não há uma correção, mas desabiitar a compressão elimina o problema. Isso pode ser feito com o comando abaixo em uma sessão da PowerShell:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
Um alerta de segurança publicado, e depois removido, pela empresa de segurança Fortinet afirma que o bug é resultado de um “estouro de buffer” no serviço da Microsoft, um erro comum de programação que ocorre quando se tenta armazenar mais dados do que o espaço disponível para eles em uma área da memória.
A equipe de segurança Talos, da Cisco, também publicou e retratou um alerta, dizendo que a falha é “wormable”. Ou seja, pode ser explorada para criar um worm. Worms são um tipo de malware que, após infectar uma máquina, tenta se replicar em todas as outras máquinas às quais ela está conectada.
Dependendo da falha explorada e da configuração dos sistemas, uma única máquina que sirva como “porta de entrada” pode infectar uma rede inteira em questão de segundos. Worms famosos na memória recente são o WannaCry, que infectou mais de 200 mil PCs em 150 países, e o NotPetya, que criptografava todos os arquivos na máquina e exigia um resgate em BitCoins para devolvê-los.
Ainda não está claro porque a Microsoft divulgou tão poucas informações sobre a falha, ou porque a Fortinet e Talos retrataram seus alertas. Uma hipótese é que as empresas estavam trabalhando em uma divulgação conjunta da falha, mas a informação acabou sendo publicada antes do tempo por acidente.
Fonte: Ars Technica