Skip to the content.

Nederlands Security Meldpunt

Het Nederlandse meldpunt voor kwetsbaarheden, infecties en andere (cyber)security gerelateerde zaken.

DIVD-2020-00006 - SMBv3 Server Compression Transform Header Memory Corruption

English below
Our reference DIVD-2020-00006
Case lead Sander Spierenburg
Author Sander Spierenburg
CVE(s) CVE-2020-0796
Products Microsoft Server Message Block protocol
Versions Windows 10 1903 for 32-bit Systems, Windows 10 1903 for x64-based Systems, Windows 10 1903 for ARM64-based Systems, Windows Server, version 1903 (Server Core), Windows 10 1909 for 32-bit Systems, Windows 10 version 1909 for x64-based Systems, Windows 10 version 1909 for ARM64-based Systems, Windows Server, version 1909 (Server Core installation)
Patches Unavailable
Workaround For servers: Block port 445 or disable compression
For clients: None
Recommendation Remove SMB services from the internet, block traffic from local network to the internet on port 445
Status Open

Update 12-3-2020

Microsoft heeft een patch gepubliceerd voor de kwetsbaarheid. We adviseren iedereen deze z.s.m. te installeren. Informatie over de patch is hier te vinden: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

Samenvatting

Op patch dinsdag 10 maart heeft Microsoft informatie gepubliceerd over een ernstige kwetsbaarheid in Microsofts Server Message Block protocol versie 3. Het betreft een buffer overflow kwetsbaarheid in het afhandelen van een speciaal gefabriceerd gecomprimeerd bestand. Hierdoor kan een aanvaller ongeautoriseerd code uitvoeren op de kwetsbare systemen.

Zowel servers als client (Windows 10) systemen zijn kwetsbaar. Voor servers is een mitigerende maatregelen beschikbaar, voor clients niet.

Wat kun u doen?

Installeer de patch van Microsoft zo snel mogelijk. Daarnaast heeft Microsoft mitigerende maatregelen voor servers gepubliceerd waarmee de impact kan worden verminderd. Door compressie op SMBv3 uit te schakelen kunnen aanvallen door ongeauthoriseerde aanvallers worden geblokkeerd. Compressie wordt momenteel nog niet actief gebruikt, uitschakelen van compressie heeft geen performance impact. Dit kan worden gerealiseerd door het volgende Powershell commando uit te voeren:

'Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 -Force'

Daarnaast:

Er is verder nog geen gedetailleerde informate beschikbaar over de kwetsbaarheid. Andere bronnen met informatie over deze kwetsbaarheid zijn hier te vinden:

Wat doen wij?

Op dit moment vragen we vooral uw aandacht voor deze kwetsbaarheid. De impact op server systemen die bereikbaar zijn vanaf het internet lijkt vooralsnog mee te vallen. De beschikbaarheid van SMBv3 op het internet is beperkt. Wij zullen de netwerk beheerders van deze systemen benaderen. Daarnaast vinden we dat deze kwetsbaarheid ook een potentieel ernstige bedreiging is voor de veiligheid van kantoornetwerken waar veel gebruik word gemaakt van Windows 10. Deze kwetsbaarheid is in potentie een ernstig probleem voor client systemen (voornamelijk Windows 10 maar ook servers). Het is, momenteel, niet mogelijk compressie uit te schakelen in de client implementatie van SMBv3. Het openen van een link naar een malafide SMBv3 server volstaat om ongeautoriseerd code uit te voeren op de client.

Timeline

Date Description
10-3-2020 Case geopened
11-3-2020 Security Meldpunt vraagt aandacht voor SMBv3 kwetsbaarheid
11-3-2020 DIVD heeft in samenwerking met Mark Schloesser een internetwijde scan uitgevoerd en daarbij verscheidene SMBv3 systemen gevonden die compressie ondersteunen
12-3-2020 DIVD gaat netwerkbeheerders van Nederlandse IP adressen met dergelijke servers waarschuwen. De overige adressen worden via onze internationale partners afgehandeld.
12-3-2020 Microsoft heeft een out-of-band patch gepubliceerd.

English

Update 12-3-2020

Microsoft has published an out-of-band patch for this vulnerability. We advise everyone to patch as soon as possible. Information about the patch is available here: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

Summary

Microsoft released a number of patches on Tuesday 10 March. Additional information was released about an additional vulnerability in Microsoft’s Server Message Block protocol v3. The vulnerability is due to an error when the vulnerable software handles a maliciously crafted compressed data packet. A remote, unauthenticated attacker can exploit this to execute arbitrary code within the context of the application.

What you can do

Install the patch from Microsoft as soon as possible. In addition, Microsoft has stated that for servers, ‘You can disable compression to block unauthenticated attackers from exploiting the vulnerability against an SMBv3 Server’. Since compression is currently not used, disabling comrpession does not impact performce. This can be achieved by executing the following command:

'Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 -Force'

Additionally:

Right now we are asking for everyone’s attention for this vulnerability. Other sources of information can be found here:

What we are doing

At this moment we are primarily asking for your attention for this vulnerability. At this point in time the impact on server systems seems low to moderate. This could change as exploit code becomes available. In addition, we believe that this vulnerability is also a threat to the security of office networks where Windows 10 is widely used. This vulnerability is potentially a serious threat to client systems (Mainly Windows 10, but servers as well). It is, currently, not possible to disable compression on the client side of SMBv3. Just opening a link to a malicious SMBv3 server wil be sufficient to achieve arbitrary code execution.

Timeline

Date Description
10-3-2020 Case opened
11-3-2020 Security Holtine asks for attention for the SMBv3 vulnerability
11-3-2020 In cooperation with Mark Schloesser, DIVD has conducted an internet-wide scan for SMBv3 servers that support compression
12-3-2020 The Security Hotline will warn network operators of Dutch IP addresses that have such systems. Other Ip addresses will be dealt with through our international partners
12-3-2020 Microsoft has published an out-of-band patch for the vulnerability