{"id":14532,"date":"2020-03-16T14:57:56","date_gmt":"2020-03-16T17:57:56","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=14532"},"modified":"2020-03-16T15:15:53","modified_gmt":"2020-03-16T18:15:53","slug":"smb-311-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/smb-311-vulnerability\/14532\/","title":{"rendered":"CVE-2020-0796: Nova vulnerabilidade no protocolo SMB"},"content":{"rendered":"<p>Surgiram <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/adv200005\" target=\"_blank\" rel=\"noopener nofollow\">not\u00edcias da vulnerabilidade RCE<\/a> no Windows 10 e nos sistemas operacionais Windows Server, a CVE-2020-0796 afeta o protocolo SMBv3 (Microsoft Server Message Block 3.1.1). Segundo a Microsoft, um hacker pode explorar esta vulnerabilidade para executar c\u00f3digos arbitr\u00e1rios no lado do servidor ou cliente SMB. Para atacar o servidor, pode-se simplesmente enviar um pacote especialmente criado. Quanto ao cliente, os atacantes precisam configurar um servidor SMBv3 malicioso e convencer o usu\u00e1rio a se conectar.<\/p>\n<p>Especialistas em ciberseguran\u00e7a acreditam que a vulnerabilidade pode ser usada para lan\u00e7ar um worm semelhante ao <a href=\"https:\/\/www.kaspersky.com.br\/blog\/wannacry-is-still-alive\/11120\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>. A Microsoft considera a vulnerabilidade como <strong>cr\u00edtica<\/strong>, ent\u00e3o voc\u00ea deve consert\u00e1-la o quanto antes.<\/p>\n<h2><strong>Quem est\u00e1 em perigo?<\/strong><\/h2>\n<p>SMB \u00e9 um protocolo de rede para acesso remoto a arquivos, impressoras e outros recursos de rede. \u00c9 usado para implementar os recursos de rede do Microsoft Windows e compartilhamento de arquivos e impressoras. Se sua empresa usa essas funcionalidades, h\u00e1 motivos para se preocupar.<\/p>\n<p>O Microsoft Server Message Block 3.1.1 \u00e9 um protocolo relativamente recente, usado apenas em novos sistemas operacionais:<\/p>\n<ul>\n<li>Windows 10, vers\u00e3o 1903 para sistemas de 32 bits.<\/li>\n<li>Windows 10, vers\u00e3o 1903 para sistemas baseados em ARM64.<\/li>\n<li>Windows 10, vers\u00e3o 1903 para sistemas baseados em x64.<\/li>\n<li>Windows 10, vers\u00e3o 1909 para sistemas de 32 bits.<\/li>\n<li>Windows 10, vers\u00e3o 1909 para sistemas baseados em ARM64.<\/li>\n<li>Windows 10, vers\u00e3o 1909 para sistemas baseados em x64.<\/li>\n<li>Windows Server, vers\u00e3o 1903 (instala\u00e7\u00e3o de Server Core).<\/li>\n<li>Windows Server, vers\u00e3o 1909 (instala\u00e7\u00e3o de Server Core).<\/li>\n<\/ul>\n<p>A vulnerabilidade n\u00e3o afeta Windows 7, 8, 8.1 ou vers\u00f5es anteriores. No entanto, os computadores mais novos com instala\u00e7\u00e3o autom\u00e1tica de atualiza\u00e7\u00e3o executam o Windows 10; \u00e9 prov\u00e1vel que muitos computadores, tanto dom\u00e9sticos quanto corporativos, sejam vulner\u00e1veis.<\/p>\n<h3><strong>Os atacantes est\u00e3o explorando o CVE-2020-0796?<\/strong><\/h3>\n<p>Segundo a Microsoft, os invasores ainda n\u00e3o exploraram a vulnerabilidade CVE-2020-0796, ou pelo menos ningu\u00e9m detectou ataques deste tipo. Mas o problema \u00e9 que ainda n\u00e3o h\u00e1 patch. Enquanto isso, as informa\u00e7\u00f5es sobre essa vulnerabilidade s\u00e3o divulgadas publicamente desde 10 de mar\u00e7o, por isso exploits podem aparecer a qualquer momento, caso ainda n\u00e3o existam.<\/p>\n<h3><strong>O que pode ser feito?<\/strong><\/h3>\n<p>Atualizado em 12 de mar\u00e7o: A Microsoft lan\u00e7ou uma atualiza\u00e7\u00e3o de seguran\u00e7a para esta vulnerabilidade. Voc\u00ea pode fazer o <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0796\" target=\"_blank\" rel=\"noopener nofollow\">download aqui<\/a>.<\/p>\n<p>Uma op\u00e7\u00e3o \u00e9 consertar manualmente:<\/p>\n<p><strong>Para servidores SMB:<\/strong><\/p>\n<ul>\n<li>A explora\u00e7\u00e3o da vulnerabilidade pode ser bloqueada com o comando PowerShell:<\/li>\n<\/ul>\n<p><strong>Set-ItemProperty -Path \u201cHKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\u201d DisableCompression -Type DWORD -Value 1 \u2013Force<\/strong><\/p>\n<p><strong>Para clientes SMB:<\/strong><\/p>\n<ul>\n<li>Como no WannaCry, a Microsoft sugere bloquear a porta TPC 445 no firewall de per\u00edmetro da empresa.<\/li>\n<\/ul>\n<p>Al\u00e9m disso, certifique-se de usar uma solu\u00e7\u00e3o de seguran\u00e7a confi\u00e1vel como o <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>. Entre outras tecnologias, ele usa um subsistema de preven\u00e7\u00e3o de explora\u00e7\u00e3o que protege computadores, mesmo contra vulnerabilidades desconhecidas.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>A Microsoft lan\u00e7ou uma patch para a vulnerabilidade cr\u00edtica rec\u00e9m-descoberta CVE-2020-0796 no protocolo de rede SMB 3.1.1.<\/p>\n","protected":false},"author":700,"featured_media":14533,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,14,1656],"tags":[218,22,2040,267,1154],"class_list":{"0":"post-14532","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-news","11":"category-smb","12":"tag-ameacas","13":"tag-microsoft","14":"tag-smb","15":"tag-vulnerabilidades","16":"tag-wannacry"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/smb-311-vulnerability\/14532\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/smb-311-vulnerability\/19519\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/smb-311-vulnerability\/16096\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/smb-311-vulnerability\/8038\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/smb-311-vulnerability\/21128\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/smb-311-vulnerability\/19390\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/smb-311-vulnerability\/17873\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/smb-311-vulnerability\/22070\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/smb-311-vulnerability\/20809\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/smb-311-vulnerability\/27594\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/smb-311-vulnerability\/7903\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/smb-311-vulnerability\/33991\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/smb-311-vulnerability\/14461\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/smb-311-vulnerability\/13158\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/smb-311-vulnerability\/23259\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/smb-311-vulnerability\/11184\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/smb-311-vulnerability\/27846\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/smb-311-vulnerability\/25095\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/smb-311-vulnerability\/21803\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/smb-311-vulnerability\/27009\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/smb-311-vulnerability\/26848\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas\/","name":"amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/14532","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=14532"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/14532\/revisions"}],"predecessor-version":[{"id":14536,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/14532\/revisions\/14536"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/14533"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=14532"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=14532"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=14532"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}