Microsoft vydal mimořádnou opravu zranitelnosti protokolu SMBv3

Společnost Microsoft vydala ve čtvrtek 12. března 2020 mimořádnou opravu zranitelnosti CVE-2020-0796, o které, zřejmě omylem, informovaly v úterý některé společnosti vyvíjející antivirové programy. Záplaty jsou vydávány pro Windows 10 a pro Windows Server 2019 a uživatelé by si je měli co nedříve nainstalovat.

Krátce poté, co Microsoft vydal 10. března 2020 pravidelnou dávku bezpečnostních aktualizací v rámci Patch Tuesday, vydal ještě zvláštní upozornění, ve kterém varoval uživatele systému Windows před další, dosud neopravenou zranitelností s identifikátorem CVE-2020-0796. Ta se týká verze 3.1.1. síťového komunikačního protokolu Server Message Block 3.0 (SMBv3). Protokol zajišťuje sdílení souborů a komunikaci mezi tiskárnami a dalšími zařízeními, a to jak na lokáních sítích, tak na internetu.

Hned 12. března 2020 pak vydala společnost mimořádnou opravu KB4551762. Oprava se vztahuje na Windows 10 (verze 1903 a 1909) a na Windows Server 2019 (verze 1903 a 1909). Starší verze chybu neobsahují.

Zranitelnost CVE-2020-0796 označili bezpečnostní experti jako „wormable“. To znamená, že chyba může být zneužita pro vývoj tzv. internetového červa (anglicky worm = červ). Červ je škodlivý program schopný replikace, tedy automatického rozesílání kopií sebe sama na další a další počítače v síti. Takové schopnosti měly například známé ransomwary WannaCry a NotPetya, které se objevily v roce 2017.

Chybu můžete potkat i pod přezdívkou „SMBGhost“ (anglicky ghost = duch), protože Microsoft se tvářil, že neexistuje. Pokud ji neopravíte, chyba může umožnit případným útočníkům připojit se vzdáleně k vašim systémům, na nichž je povolena služba SMB, a spustit zde škodlivý kód s oprávněními SYSTÉM. To může vyústit až v jejich vzdálené převzetí.

Chybička se vloudila

Ačkoli Microsoft v rámci své pravidelné aktualizace opravu této zranitelnosti nevydal, tak pravděpodobně díky chybě v komunikaci prosákly informace na veřejnost. Svá doporučení ohledně ní totiž publikovaly (a poté opět stáhly) např. společnost Fortinet a bezpečnostní tým Talos společnosti Cisco. Pak už Microsoftu nezbývalo nic jiného, než patch vydat.

A přišel právě včas. Krátce po zveřejnění informace o zranitelnosti sdělilo několik bezpečnostních expertů serveru ZDNet, že nalezení chyby v kódu driverů protokolu SMB jim zabralo pouze 5 minut. Někteří z výzkumníků si vyvinuli i proof of concept demo, na kterém prokázali, že lze zranitelnost zneužít.

Jak je to horké?

Kryptos Logic, společnost zabývající se kybernetickou bezpečností, sdělila, že k 12. březnu identifikovala na internetu cca 48 000 hostitelů, kteří mají vystavený SMB port do internetu, a jsou tedy potenciálně zranitelní. Ačkoli je zneužití zranitelnosti poměrně jednoduché a následky tedy mohou být dost vážné, experti to nevidí až tak černě.

Chyba v protokolu SMBv1, která spustila lavinu již zmíněných škodlivých programů WannaCry a NotPeya, byla kritická zvláště proto, že ji podpořilo zveřejnění zranitelnosti EternalBlue. Ta byla tak spolehlivá, že zneužití se vlastně stalo téměř pouze Ctrl+C a Ctrl+V záležitostí. Nic takového pro novou chybu aktuálně v kybernetickém prostoru neexistuje. Navíc, protokol SMBv3, který je předmětem zranitelnosti, není tak široce rozšířený jako verze 1.0.

Microsoft právě z důvodu množících se kybernetických útoků do zabezpečení Windows 10 a Windows Serveru 2019 hodně investoval, a to speciálně v oblasti internetových červů. Protokol SMBv3 dále chrání různé další metody zabezpečení pro počítače s Windows. Patří mezi ně i tzv. randomizace rozložení adresního prostoru. Ta nahodile vybírá místa v paměti počítače, kam se načte kód útočníka v případě, že je zranitelnost úspěšně zneužita.

Díky těmto dvěma aspektům a tomu, že oprava byla vydána ihned po zveřejnění, nedojde pravděpodobně k situaci jako u WannaCry. Zatím ani nebylo zjištěno, že by někdo tuto zranitelnost zneužil k útoku na firmu nebo domácnost.

Aktualizujte a nepanikařte

Důvody, proč došlo k publikaci a poté ke stažení bezpečnostních doporučení k této zranitelnosti, rozvířily na Twitteru mnoho spekulací. Microsoft běžně sděluje informace k chystaným opravám výrobcům antivirových programů a dalších bezpečnostních systémů. Je tedy možné, že společnost stáhla tuto opravu z úterního balíku na poslední chvíli, a k některým partnerům informace nedoputovala.

Ať je to jakkoli, už je to venku a máte-li doma nebo ve firmě zařízení s protokolem SMBv3, která jsou vystavená do internetu, následujte prosím pokyny a aktualizaci si instalujte co nejdříve. Pokud si nemůžete nainstalovat tuto záplatu okamžitě, je připravené i bezpečnostní doporučení od Microsoftu s identifikátorem ADV200005, jak dopad chyby alespoň zmírnit. Jake Williams, bývalý hacker pracující pro agenturu NSA a zakladatel společnosti Rendition Security, napsal na Twitteru: „Situace je vážná, ale nejedná se o WannaCry 2.0. Ohroženo je menší množství systémů a neexistuje žádný předpřipravený škodlivý kód. Ne, že by mě těšilo, že se objevila další zranitelnost protokolu SMB, ale víme, že nejspíše přijdou i další. Každopádně, není potřeba panikařit.“