Na terça-feira (10), a Microsoft lançou o pacote de atualizações que envia na segunda terça-feira de cada mês. Desta vez, o pacote corrigiu 117 vulnerabilidades, das quais 25 foram classificadas como críticas. No entanto, no mesmo dia, foram vazadas informações, antes mesma da Microsoft emitir um comunicado oficial, sobre a existência de uma vulnerabilidade crítica (CVE-2020-0796) que pode ser explorada por um malware com características de worm, que não foi corrigida no último pacote de atualizações e que afeta o protocolo de comunicação de rede SMB 3.1.1.
A vulnerabilidade neste protocolo, usado para compartilhar arquivos, realizar comunicação com uma impressora e com outros recursos conectados a uma rede local, gerou um alvoroço já que, considerando as características de worm apresentadas pela falha, caso seja explorada em um ataque, pode facilmente comprometer outros computadores sem a necessidade de interação do usuário, como aconteceu com o WannaCry ou o NotPetya. "Se a falha for explorada por um atacante, ele pode executar código no servidor SMB de destino e no cliente SMB", explicou a Microsoft através de um comunicado divulgado na terça-feira (10).
"Um atacante pode explorar a vulnerabilidade através do envio de pacotes especialmente projetados para o servidor SMBv3 de destino, enquanto que para explorar a falha em um cliente SMB, o atacante precisa comprometer um servidor SMBv3 e convencer o usuário a se conectar", explicou a empresa.
O Windows 10 (versões 1903 e 1909) e o Windows Server (versões 1903 e 1909) são afetados por essa falha, que atualmente não possui patch e muito menos data de lançamento.
É fundamental destacar que essa falha está localizada especificamente no componente de compactação do SMBv3; portanto, a sugestão para estar protegido, pelo menos até o lançamento do patch correspondente, é desativar a compactação para impedir que um atacante não autenticado explore a vulnerabilidade no Servidores SMBv3. Para isso, a Microsoft publicou o seguinte comando do PowerShell com o qual não há necessidade de reiniciar o computador:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Como a empresa explicou, esta medida não protegerá clientes vulneráveis, por isso também é importante bloquear a porta TCP 445, que é usada para enviar tráfego SMB entre computadores, embora isso certamente possa afetar o funcionamento do dispositivo.