Na terça-feira (10), a Microsoft divulgou uma nova vulnerabilidade de segurança que afeta o Windows 10 e o Windows Server 2019 na implementação do serviço SMBv3 (Server Message Block) build 3.1.1. A falha é do mesmo tipo da que foi explorada anteriormente pelos malwares WannaCry e NotPetya em ataques que causaram prejuízos em redes corporativas de todo o mundo.
O SMBv3 é utilizado para o compartilhamento de recursos em redes locais e pela internet, como arquivos, impressoras, entre outros.
Como a falha ocorre
A vulnerabilidade recebeu o código de identificação CVE-2020-0796 e ocorre devido a um erro quando o software vulnerável lida com um pacote de dados compactados criado com códigos maliciosos. Se explorasse com sucesso, um invasor remoto e não autenticado poderia executar código arbitrário no contexto do aplicativo. A falha é considerada potencialmente séria, pois a exploração em uma única máquina poderia desencadear uma reação em cadeia, afetando todos os outros dispositivos da rede sem a necessidade de intervenção de administradores ou usuários.
O estranho, nesse caso, é que a empresa de segurança Fortinet e a equipe de segurança Talos, da Cisco, chegaram a publicar informações sobre a vulnerabilidade, mas logo em seguida apagaram as postagens, sobrando somente a indicação da própria Microsoft.
Sem patch de correção: o que fazer?
Hoje, o SMBv3 é muito menos utilizado do que o SMBv1, que foi usado pelo WannaCry e pelo NotPetya. De qualquer forma, se a nova falha fosse explorada, poderia comprometer redes inteiras de computadores.
Em sua publicação, a Microsoft não deu nenhuma previsão de quando vai liberar um patch de correção para o Windows, mas recomendou aos administradores que desativem a compactação nos servidores vulneráveis, além de bloquearem a porta TCP 445 em firewalls e máquinas de clientes.
É possível desativar a compactação no SMBv3 com o comando a seguir.
Set-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” DisableCompression -Type DWORD -Value 1 -Force
A desabilitação é feita instantaneamente e não requer a reinicialização do sistema.