Microsoft waarschuwt organisaties voor een kritiek beveiligingslek in SMBv3 waardoor een aanvaller op afstand code op de SMB-server of SMB-client kan uitvoeren en een beveiligingsupdate is nog niet beschikbaar. "Microsoft is bekend met een remote code execution-kwetsbaarheid in de manier waarop het Microsoft Server Message Block 3.1.1 (SMBv3) protocol bepaalde verzoeken verwerkt", aldus een advisory van Microsoft.
Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Door het versturen van een speciaal geprepareerd pakket naar een SMBv3-server kan een aanvaller willekeurige code op de server kunnen uitvoeren. De aanvaller hoeft hierbij niet over een wachtwoord te beschikken om op de server zelf in te kunnen inloggen. Daarnaast is het mogelijk om SMB-clients over te nemen die verbinding met een kwaadaardige SMBv3-server maken. Een aanvaller zou bijvoorbeeld eerst de server kunnen aanvallen en vervolgens alle clients die verbinding maken infecteren.
Volgens sommige berichten zou een worm zich via het lek kunnen verspreiden, zo laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. De organisatie wijst naar een blogpost van Cisco over de maandelijkse patchdinsdag van Microsoft waarin details over het beveiligingslek stonden vermeld. Inmiddels is de blogpost aangepast en de verwijzing naar de kwetsbaarheid verwijderd. Een aantal uren na de publicatie verscheen de advisory van Microsoft online.
Het CERT/CC stelt dat op dit moment geen praktische oplossing voorhanden is. Als tijdelijke oplossing wordt aangeraden om SMBv3-compressie uit te schakelen. Tevens wordt aangeraden om uitgaande SMB-verbindingen (TCP-poort 445 voor SMBv3) van het lokale netwerk naar het WAN te blokkeren. Ook moeten SMB-verbindingen van het internet geen verbinding met het bedrijfsnetwerk kunnen maken. Microsoft adviseert organisaties om beveiligingsupdates voor de kwetsbaarheid meteen te installeren zodra die beschikbaar komen. Wanneer dit is, is nog onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.