Microsoft membocorkan informasi tentang pembaruan keamanan untuk kerentanan remote-code-execution pra-auth ‘wormable‘ yang ditemukan dalam protokol komunikasi jaringan SMBv3 (Server Message Block 3.0) yang seharusnya dilaporkan dan diungkapkan sebagai bagian dari Patch Tuesday bulan ini.
Kerentanan ini disebabkan oleh kesalahan ketika SMBv3 menangani paket data terkompresi yang dibuat berbahaya dan memungkinkan penyerang yang tidak terotentikasi secara remote mengeksploitasinya untuk mengeksekusi kode arbitrer dalam konteks aplikasi.
Meskipun advisory kerentanan sebenarnya tidak dipublikasikan oleh Microsoft (tidak ada penjelasan apakah memang dirilis oleh Redmond sejauh ini), sejumlah vendor keamanan bagian dari Microsoft Active Protections Program yang mendapatkan akses awal ke informasi kerentanan memang merilis rincian tentang kerentanan keamanan yang dilacak sebagai CVE-2020-0796.
CVE-2020-0796 – a "wormable" SMBv3 vulnerability.
Great…
😂 pic.twitter.com/E3uPZkOyQN— MalwareHunterTeam (@malwrhunterteam) March 10, 2020
Versi desktop maupun server Windows 10 terpengaruh oleh kerentanan ini
Perangkat yang menjalankan Windows 10 versi 1903, Windows Server versi 1903 (instalasi Server Core), Windows 10 versi 1909, dan Windows Server versi 1909 (instalasi Server Core) terpengaruh oleh kerentanan ini menurut advisory Fortinet, meskipun sepertinya lebih banyak versi terpengaruh karena mengingat bahwa SMBv3 dihadirkankan juga di Windows 8 dan Windows Server 2012.
Fortinet mengatakan bahwa setelah eksploitasi berhasil, CVE-2020-0796 dapat memungkinkan penyerang secara remote mengambil kendali penuh dari sistem yang rentan.
Karena kerahasiaan Microsoft, orang-orang membuat teori konspirasi mereka sendiri mengenai malware dan tingkat keparahannya, beberapa orang bahkan membandingkannya dengan EternalBlue, NotPetya, WannaCry, atau MS17-010.
Patch your Windows systems people. There is an SMB vulnerability that appears to be wormable. Think EternalBlue, NotPetya, WannaCry, MS17-010, whatever reminds you of that. You don't want it to happen to you, so patch fast! CVE-2020-0796 https://t.co/qUBRZOIqZz
— Jorge Orchilles (@jorgeorchilles) March 10, 2020
Seems like Cisco's Talos accidentily published details about CVE-2020-0796. A RCE exploit in SMBv3. This type of exploit is comparable to EternalBlue. The impact of such an exploit is what we experienced during WannaCry and NotPetya. pic.twitter.com/jh7HKRDWDr
— Rickey Gevers (@UID_) March 10, 2020
Beberapa orang lainnya pun sudah mulai menamai kerentanan ini, seperti SMBGhost, DeepBlue 3: Redmond Drift, Bluesday, CoronaBlue, dan NexternalBlue.
Some people wants to be cool and name it with including the word "corona" in it.
We recommend to use SMBGhost name for it – SMB is obviously for what, Ghost because "it not exists".— MalwareHunterTeam (@malwrhunterteam) March 10, 2020
Mitigasi Kerentanan CVE-2020-0796 SMBv3 Windows
Microsoft menerbitkan advisory keamanan dengan detail tentang cara menonaktifkan kompresi SMBv3 untuk melindungi server terhadap upaya eksploitasi.
Kamu dapat menonaktifkan kompresi pada server SMBv3 dengan perintah PowerShell ini:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
