Microsoft brengt patch uit voor SMBv3-kwetsbaarheid

Microsoft heeft een patch uitgebracht voor de beveiligingskwetsbaarheid in Microsoft Server Message Block 3.1.1. Beveiligingsonderzoekers hebben inmiddels proof-of-concepts ontwikkeld die mogelijkheden tot misbruik aantonen.

Beveiligingsupdate KB4551762 is een fix voor de kwetsbaarheid met aanduiding CVE-2020-0796 die Microsoft van dinsdag op woensdag bekendmaakte, toen met weinig details. De patch is beschikbaar voor versies 1903 en 1909 van Windows 10 en versies 1903 en 1909 van Windows Server Core-installaties. Dit zijn de kwetsbare Windows-versies. Eerder meldde het bedrijf dat als workaround de SMBv3.1.1-compressie uit te schakelen is.

De kwetsbaarheid zit bij de manier waarop Microsoft Server Message Block 3.1.1, de laatste versie van MIcrosofts SMB-protocol, bepaalde requests afhandelt. Bij misbruik maakt dit het uitvoeren van code op een SMB-server of -client mogelijk. De aanvaller moet daarvoor een malafide datapakketje sturen naar een SMBv3-server, of een client overhalen verbinding te maken met een kwaadaardige SMBv3-server. Eerdere Windows-versies dan 1903 zijn niet kwetsbaar omdat die geen SMBv3.1.1-compressie ondersteunen.

Bleeping Computer schrijft dat meerdere onderzoekers inmiddels proof-of-concept-code hebben geschreven om de mogelijkheden tot misbruik te demonstreren. Zo toont Kryptos Logic een video van een denial-of-service-exploit die een blue screen veroorzaakt, terwijl Sophos een local privilege escalation-exploit voor het verhogen van rechten demonstreert. De demonstraties tonen aan dat misbruik in de praktijk tot de mogelijkheden behoort.

Lees meer

Reacties (26)

Mel33 12 maart 2020 19:54

Vergewis je je ervan dat je (KB4541338) hebt, voordat je deze KB4551762 installeert. want dat komt de stabiliteit ten goede.

repmeer @Mel33 • 12 maart 2020 21:04

Uit de supportlink https://support.microsoft...ndows-10-update-kb4551762

If you are using Windows Update, the latest SSU (KB4541338) will be offered to you automatically. To get the standalone package for the latest SSU, search for it in the Microsoft Update Catalog.

ToolBee @repmeer • 13 maart 2020 13:10

Even gekeken in "geïnstalleerde updates"... daar stond KB4541338 niet bij!

Maar via de MS-site even een check gehad toen ik hem wilde downloaden. Hij stond er inderdaad al wel op.

Ook verwarrend!

Marctraider @Mel33 • 12 maart 2020 20:48

Maar... dit zijn gewoon cumulative updates? Alles daarvoor zit er ook gewoon in. Fixes gaan gewoon over elkaar heen tenzij er iets door MS wordt teruggefloten.

Ocin32 @Marctraider • 16 maart 2020 10:53

KB4541338 is de zogenaamde service stack update, die komt bijna altijd maandelijks mee samen met de CU updates.

In sommige gevallen kan de service stack update zelfs een vereiste zijn om de CU te kunnen installeren, dit is in de praktijk vooral vaak het geval wanneer men achterloopt met CU updates.

edit: een thuisgebruiker zal hier nooit tegenaan lopen. bij SCCM distributie zal je de service stack updates zeker mee moeten nemen in je update list.

[Reactie gewijzigd door Ocin32 op 22 juli 2024 19:24]

mikeoke 12 maart 2020 19:53

SMBv3.1.1-compressie uit te schakelen is.
Wat heeft de workaround voor invloed op je systemen, werken de (Veeam) backups bijvoorbeeld minder efficient vanwege uitschakelen compressie?

Voor als je de workarround in je grouppolicy wilt gebruiken heeft Technion een ADMX template gemaakt
https://github.com/technion/DisableSMBCompression

[Reactie gewijzigd door mikeoke op 22 juli 2024 19:24]

Blokker_1999

Microsoft
Beveiliging en antivirus

@mikeoke • 12 maart 2020 20:03

compressie zorgt er gewoon voor dat bepaalde bestandstypes die nog ruimte hebben om sterk te comprimeren (denk bijv. tekstbestanden) alsnog gecomprimeerd worden op de computer om zo minder bandbreedte in te nemen op het netwerk en kan belangrijk zijn voor bedrijven waarbij fileshares soms tussen verschillende locaties gaan waarbij de bandbreedte tussen die locaties beperkt is.

mikeoke @Blokker_1999 • 12 maart 2020 21:01

bedankt voor je uitleg, klinkt ook logisch.

Het is alleen voor mij verwarrend omdat ik mij er tot op heden niet in heb verdiept en nu lees ik dat de "compressie" later is toegevoegd aan SMBv3.1.1
Deze compressie heeft server 2016 dus nog niet ook al maken mijn Win10 clients wel een SMBv3.1.1 connectie naar de server 2016
powershell command: Get-SmbConnection
en met alle settings: Get-SmbConnection | Select-Object -Property *

Nog meer powershell commands om de "DisableCompression" parameter uit te lezen (lokaal/netwerk)

COW_Koetje @mikeoke • 12 maart 2020 21:08

Veeam heeft een eigen protocol hiervoor en is niet afhankelijk van de SMB versies hierin.
Veeam doet meer dingen binnen zijn protocol set zoals ddup (niet hoeven wegschrijven van dezelfde blokken data)
Zelfs als je een backup maakt naar een CIFS share met SMBv3.1.1 zou je het niet mogen merken.
Het maken van een backup van een CIFS share werkt anders vanuit gaande dat je de VmWare gebruikt omdat die de vmdk files gebruikt van VmWare hiervoor. (vanuit gaande dat je een SMB server als virtual host draait op VmWare)
Mocht je de agent gebruiken bij bare metal of andere redenen dan heeft Veeam dus zijn eigen protocol daarvoor.

King4589 @mikeoke • 13 maart 2020 07:41

Houd er wel rekening mee dat de workaround alleen op windows server werkt. Client hebben echt de patch nodig.

[Reactie gewijzigd door King4589 op 22 juli 2024 19:24]

freeco

12 maart 2020 20:21

Enkel Windows 1903 en 1909 zijn geïmpacteerd trouwens. Dus die 2 recentste Windows 10 builds of de 2 Windows Server 2019 SAC builds.
Oudere Windows versies zoals (wat mij beroepsmatig het meeste interesseert) Windows Server 2019 en 2016 LTSC zijn niet geïmpacteerd, ook al hebben ze ook SMB v3.1.1.

(Het is natuurlijk altijd nog mogelijk dat er nog nieuwe info beschikbaar komt, en dat de oudere builds alsnog gepatcht moeten worden.)

Marctraider @freeco • 12 maart 2020 20:42

Zit SMB3.x dan in de 2.x implementatie gebakken? Want ik zie alleen 1.x legacy en 2.x kernel drivers.

Ook via dism / features zie ik alleen 1 en 2.

Of bedoelt men met 3.x SMBDirect?
Dan kan het wel kloppen sinds dat alles via m'n global script wordt geuninstalled.

Verder maakt het voor mij weinig uit, alle gerelateerde drivers/services qua SMB starten hier alleen on-demand

(LTSC).

[Reactie gewijzigd door Marctraider op 22 juli 2024 19:24]

mae-t.net @freeco • 13 maart 2020 01:00

Ik weet dat het niet on-topic is... Maar zo apart als"geïmpacteerd" ben ik ze nog niet tegengekomen dus ik zeg er dan toch maar iets van. Je zou "getroffen" kunnen zeggen bijvoorbeeld. In het Engels kom je volgens mij ook vaker "affected" tegen, maar daar bestaat het woord "impacted" tenminste nog wel en de betekenis klopt ook. In het Nederlands bestaat het woord niet eens, en het heeft ook niet echt alles in zich om een succesvol leenwoord te worden.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 19:24]

freeco

@mae-t.net • 13 maart 2020 07:43

Zal wel Vlaams <> Nederlands zijn...

mae-t.net @freeco • 13 maart 2020 19:27

Klinkt logisch, meestal zie ik dat wel maar hier gemist. Dankje voor de verklaring!

OxWax @mae-t.net • 14 maart 2020 09:48

Is ook medische term

Wanneer een verstandskies tijdens de doorbraak vastloopt door plaatsgebrek of een verkeerde doorbraakrichting, spreekt men van een geïmpacteerde verstandskies. Wanneer een verstandskies zonder aanwijsbare reden stokt in zijn doorbraak, spreekt men van een geretineerde verstandskies. Soms groeien er meer dan vier verstandskiezen.

OxWax @freeco • 14 maart 2020 09:45

2019 WinSer = "oudere versie" ?

Plune 12 maart 2020 21:06

Er zijn problemen opgetreden bij het installeren van updates. We proberen het later opnieuw.
2020-03 Cumulatieve update voor op Windows 10 Version 1909 for x64 gebaseerde systemen (KB4551762) - fout 0x800f0982
Dat gebeurd dus bij vier pogingen na elkaar. De laatste 2 halen wel de 100% geïnstalleerd
maar gaan toch fout. Haastklusje?. En ja KB4541338 is al eerder geïnstalleerd.
Na het runnen van de ingebouwde probleemoplosser voor updates is het ook gelukt!
Laptop Akoya s2210 win 10 ver 1909 draait weer en kan weer bij de NAS.
Op 2x nieuwere PC waren hier eerder ook geen problemen vandaar mijn verbazing.

[Reactie gewijzigd door Plune op 22 juli 2024 19:24]

WhiteDog @Plune • 12 maart 2020 22:59

Dat is normaal, fouten komen elke maand voor bij de patches die ze uitbrengen.

SuperDre @Plune • 12 maart 2020 23:01

Vandaag ook binnengekregen, maar verwerkte bij mij wel gewoon zonder problemen.

mutsje 12 maart 2020 19:34

Wij hebben even afgewacht poort naar buiten stond toch dicht

en MS kennende lossen ze dit soort zaken snel op. De cve had niet naar buiten mogen komen lijkt wel citrix verhaaltje

Niemand_Anders @mutsje • 13 maart 2020 10:29

port naar buiten dicht zetten is niet altijd voldoende. Bij (te) veel kantoren krijg je gewoon de WiFi gegevens van het lokale netwerk waarop ook de werknemers zitten..

Slechts een handvol bedrijven heeft een guest WiFi netwerk welke gescheiden is van het reguliere interne netwerk. Nog los van het feit dat het kraken van WiFi PSK2 keys geen rocket science meer is en kan iemand een driveby doen en enkele computers infecteren. De DOS poc is redelijk onschuldig, maar de local privilege escalation variant is toch wel serieuzer..

DOS 3.1 12 maart 2020 22:46

Hier op 3 pc's probleemloos geïnstalleerd (en ja KB4541338 is al eerder geïnstalleerd):
Installatie voltooid: de volgende update is geïnstalleerd: 2020-03 Cumulatieve update voor op Windows 10 Version 1909 for x64 gebaseerde systemen (KB4551762)
Pc's: Dell T3500, Dell E6410 laptop, BTO 17CL35/W170hn laptop.

Opperpanter2 12 maart 2020 19:24

En ik was net klaar met de uitrol van de mitigatie.... :-D

JWL92 13 maart 2020 08:25

Ben ik de enige met blue screens na laatste update?

wivac 14 maart 2020 02:39

Heb ook problemen gehad, ik kreeg geen desktop meer en vond achteraf de volgende 2 steeds weerkerende,loop, fouten in de betrouwbaarheidsgeschiedenis:
---------------------
De eerste:

Naam van toepassing met fout: sihost.exe, versie: 10.0.18362.1, tijdstempel: 0xe9587576
Naam van module met fout: ntdll.dll, versie: 10.0.18362.719, tijdstempel: 0x64d10ee0
Uitzonderingscode: 0xc0000005
Foutmarge: 0x00000000000394b0
Id van proces met fout: 0x2208
Starttijd van toepassing met fout: 0x01d5f8d8283c99bd
Pad naar toepassing met fout: C:\Windows\system32\sihost.exe
Pad naar module met fout: C:\Windows\SYSTEM32\ntdll.dll
Rapport-id: d955e3b8-de09-4ba7-975a-f90e05b0f60e
Volledige pakketnaam met fout:
Relatieve toepassings-id van pakket met fout:
-------------------------------------
De tweede:

Naam van toepassing met fout: explorer.exe, versie: 10.0.18362.693, tijdstempel: 0x587c1978
Naam van module met fout: ucrtbase.dll, versie: 10.0.18362.387, tijdstempel: 0x4361b720
Uitzonderingscode: 0xc0000409
Foutmarge: 0x000000000006db8e
Id van proces met fout: 0x1e2c
Starttijd van toepassing met fout: 0x01d5f8d7c5019c21
Pad naar toepassing met fout: C:\Windows\explorer.exe
Pad naar module met fout: C:\Windows\System32\ucrtbase.dll
Rapport-id: 0b8e9fdb-8efd-434d-949a-1f6bdbb2b4f0
Volledige pakketnaam met fout:
Relatieve toepassings-id van pakket met fout:
*******************

Oplossing: systeemherstel" pré update en daarna "wushowhide.diagcab" laten lopen die de update opnieuw hersteld verklaard en een, voor mij, niet direct achterhaalbaar probleem oploste.
Alles werkt nu al 24 u terug prima.

Core i5 760 - ga p55 ud3 - 16 gig ram - nvidia gt1030 - crucial mx 500 ssd

Op men andere desktop en recentere laptop geen problemen.

[Reactie gewijzigd door wivac op 22 juli 2024 19:24]

Op dit item kan niet meer gereageerd worden.

Microsoft brengt patch uit voor SMBv3-kwetsbaarheid

Lees meer

Reacties (26)

Sorteer op:

Weergave: