Опасный недостаток Windows может привести к массовой атаке червя: что вы можете сделать

4

Непосредственно перед выпуском вчерашнего исправления Patch Tuesday исправления Microsoft случайно обнаружила новый недостаток Windows, а затем по какой-то причине решила не исправлять его.

Эта уязвимость может позволить вредоносному ПО «проникнуть» через корпоративные компьютерные сети и, возможно, через Интернет, подобно червям NotPetya и WannaCry 2017 года. Но любые эксплойты этого червя, вероятно, не будут такими разрушительными, как эти два.

  • Лучшее антивирусное программное обеспечение: лучшие бесплатные и платные пакеты безопасности для Windows
  • Самая важная вещь, которую вы можете сделать, чтобы защитить свой компьютер
  • Новое: Утечка данных в приложении Whisper раскрывает 900 миллионов секретных признаний: что делать

Недостаток затрагивает только Windows 10 версий 1903 и 1909 и Windows Server 2019. Вы можете проверить, используете ли вы 1903 или 1909, перейдя в «Настройки», затем «Система» и затем «О программе».

Как (временно) защитить себя

Пока Microsoft не выпустит исправление для этой уязвимости, лучше всего вручную отключить порт 445 в брандмауэре Windows. Вот как. (Убедитесь, что вы вошли в систему как администратор.)

  1. Введите «брандмауэр» в поле поиска в левом нижнем углу экрана.
  2. Когда откроется окно брандмауэра Защитника Windows, нажмите Расширенные настройки.
  3. В появившемся окне Брандмауэр Защитника Windows в режиме повышенной безопасности нажмите Входящие правила в левом верхнем углу.
  4. Нажмите Новое правило в правом верхнем углу.
  5. В появившемся окне мастера новых правил входа выберите Порт и нажмите кнопку Далее в нижней части окна.
  6. В следующем окне выберите TCP и конкретные локальные порты. В поле рядом с «Определенные локальные порты» введите 445 и нажмите кнопку «Далее».
  7. В появившемся окне действий выберите Блокировать соединение и нажмите Далее.
  8. В появившемся окне профиля оставьте флажки Домен, Личное и Публичное все проверенными и нажмите Далее.
  9. Дайте новому правилу новое имя, например «Входящий блок 445 портов», и нажмите «Готово».
  10. Нажмите «Исходящие правила» в окне «Брандмауэр Защитника Windows в режиме повышенной безопасности» и повторите шаги 4–9.

Недостатком блокировки порта 445 является то, что вы не сможете поделиться своим подключением к принтеру или файлу с другим ПК в той же локальной сети.

Что тут происходит

Недостаток связан с протоколом Server Message Block версии 3.1.1, он же SMBv3. В сообщении безопасности Microsoft производитель программного обеспечения считает ее «критической» https://www.tomsguide.com/ «уязвимостью удаленного выполнения кода», добавляя, что «злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить возможность выполнять код на целевой SMB-сервер или SMB-клиент, т. е. компьютеры и серверы, использующие SMBv3.

Вчера охранная компания Fortinet, которая предположительно получила предварительную информацию об обновлениях Microsoft Patch Tuesday, описала уязвимость как «уязвимость переполнения буфера на серверах Microsoft SMB».

Переполнения буфера – это довольно обычные программные недостатки, возникающие из-за того, что программы превышают выделенный им объем памяти в работающей памяти системы. Когда это происходит, переполнение перетекает в пространство памяти, выделенное для другой программы, или в нераспределенное пространство памяти. В результате код в переполненной области теперь может выполнять код в первой программе.

«Уязвимость связана с ошибкой, когда уязвимое программное обеспечение обрабатывает вредоносный пакет сжатых данных», – пишет Fortinet. «Удаленный злоумышленник, не прошедший проверку подлинности, может использовать это для выполнения произвольного кода в контексте приложения».

В блоге Cisco Talos, в сводке обновлений Microsoft Patch вторник, вчера было написано, что «эксплуатация этой уязвимости открывает системы для« извращенной »атаки, что означает, что было бы легко перейти от жертвы к жертве».

Пост в блоге Talog был впоследствии снят и заменен новой версией, в которой не упоминался недостаток SMB.

Так мы должны бегать с криком? Возможно нет. Основатель Rendition Security и второстепенная легенда информационной безопасности Джейк Уильямс, также известный как MalwareJake, вчера написал в Твиттере, что «это серьезно, но это не WannaCry 2.0».

«Меньшее количество систем подвержено уязвимости, и нет доступного кода эксплойта», – добавил Уильямс. «Истерия неоправданна».

(Изображение предоставлено: wk1003mike / Shutterstock)