{"id":25095,"date":"2020-03-12T12:43:30","date_gmt":"2020-03-12T10:43:30","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=25095"},"modified":"2022-05-05T13:57:19","modified_gmt":"2022-05-05T11:57:19","slug":"smb-311-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/smb-311-vulnerability\/25095\/","title":{"rendered":"CVE-2020-0796: Nieuwe kwetsbaarheid in SMB-protocol"},"content":{"rendered":"<p><span style=\"color: #000000\"><span lang=\"nl-NL\"><b>Ge\u00fcpdatet op 12 maart<\/b><\/span><\/span><\/p>\n<p><a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/adv200005\" target=\"_blank\" rel=\"noopener nofollow\">Er is nieuws opgedoken over de CVE-2020-0796 RCE-kwetsbaarheid<\/a> in de besturingssystemen Windows 10 en Windows Server, die het protocol Microsoft Server Message Block 3.1.1 (SMBv3) treft. Volgens Microsoft kan een aanvaller deze kwetsbaarheid benutten om een willekeurige code uit te voeren aan de kant van de SMB-server of SMB-client. Om de server aan te vallen kan men simpelweg een speciaal gecre\u00eberd pakket naar diezelfde server versturen. Wat betreft de client moeten aanvallers een schadelijke SMBv3-server configureren en een gebruiker ervan overtuigen om hier verbinding mee te maken.<\/p>\n<p>Cybersecurity-experts geloven dat de kwetsbaarheid kan worden gebruikt om een worm te lanceren die vergelijkbaar is met WannaCry. Microsoft noemt de kwetsbaarheid kritiek, dus deze moet zo snel mogelijk worden opgelost.<\/p>\n<h2><strong>Wie loopt er gevaar?<\/strong><\/h2>\n<p>SMB is een netwerkprotocol voor toegang op afstand tot bestanden, printers en andere netwerkbronnen. Het protocol wordt gebruikt om functies van het Microsoft Windows Network, bestanden en het delen van printers te implementeren. Als uw bedrijf deze functies gebruikt, moet u zich zorgen maken.<\/p>\n<p>Microsoft Server Message Block 3.1.1 is een relatief nieuw protocol, en wordt alleen op nieuwe besturingssystemen gebruikt:<\/p>\n<ul>\n<li>Windows 10 Versie 1903 voor 32-bitsystemen<\/li>\n<li>Windows 10 Versie 1903 voor ARM64-gebaseerde systemen<\/li>\n<li>Windows 10 Versie 1903 voor x64-gebaseerde systemen<\/li>\n<li>Windows 10 Versie 1909 voor 32-bitsystemen<\/li>\n<li>Windows 10 Versie 1909 voor ARM64-gebaseerde systemen<\/li>\n<li>Windows 10 Versie 1909 voor x64-gebaseerde systemen<\/li>\n<li>Windows Server, versie 1903 (Server Core-installatie)<\/li>\n<li>Windows Server, versie 1909 (Server Core-installatie)<\/li>\n<\/ul>\n<p>De kwetsbaarheid is niet van invloed op Windows 7, 8, 8.1 of oudere versies. Maar de meeste moderne computers met automatische installatie van updates draaien op Windows 10, dus het is zeer goed mogelijk dat veel computers, zowel thuis- als bedrijfscomputers, kwetsbaar zijn.<\/p>\n<h2><strong>Maken aanvallers gebruik van CVE-2020-0796?<\/strong><\/h2>\n<p>Volgens Microsoft, is de CVE-2020-0796-kwetsbaarheid nog niet voor aanvallen gebruikt. Zulke aanvallen zijn in ieder geval nog niet gezien. Maar het probleem is dat er nog geen patch bestaat voor CVE-2020-0796. Ondertussen is de informatie over de kwetsbaarheid al sinds 10 maart publiekelijk bekend, dus er kunnen op elk moment exploits verschijnen, als die er niet al zijn.<\/p>\n<h2><strong>Wat moet u doen?<\/strong><\/h2>\n<p><span style=\"color: #000000\"><span style=\"font-size: medium\"><span lang=\"nl-NL\"><b>Update van 12 maart:<\/b><\/span><\/span><\/span><span style=\"color: #000000\"><span style=\"font-size: medium\"><span lang=\"nl-NL\"> Microsoft heft een beveiligingsupdate uitgegeven die deze kwetsbaarheid tegengaat. U kunt die <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0796\" target=\"_blank\" rel=\"noopener nofollow\">hier<\/a> downloaden.<\/span><\/span><\/span><\/p>\n<p><span style=\"color: #000000\"><span style=\"font-size: medium\"><span lang=\"nl-NL\">Zonder beschikbare patch moet u de kwetsbaarheid afsluiten, en daar zijn tijdelijke oplossingen voor nodig. Microsoft biedt de volgende opties om de exploitatie van de kwetsbaarheid te blokkeren:<\/span><\/span><\/span><\/p>\n<h3>Voor SMB-servers:<\/h3>\n<ul>\n<li>U kunt de exploitatie van de kwetsbaarheid blokkeren door een PowerShell-commando te gebruiken:<\/li>\n<\/ul>\n<p><strong>Set-ItemProperty -Path \u201cHKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\u201d DisableCompression -Type DWORD -Value 1 \u2013Force<\/strong><\/p>\n<h3>Voor SMB-clients:<\/h3>\n<ul>\n<li>Net als bij WannaCry raadt Microsoft aan om TCP-poort 445 te blokkeren bij de enterprise perimeter firewall.<\/li>\n<\/ul>\n<p>Zorg er ook voor dat u een betrouwbaar beveiligingssysteem zoals <a href=\"https:\/\/www.kaspersky.nl\/small-to-medium-business-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a> gebruikt. Behalve andere technologie\u00ebn maakt het gebruik van een preventie-subsysteem dat endpoints beschermt, zelfs tegen onbekende kwetsbaarheden.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Microsoft heeft een patch uitgegeven voor de onlangs ontdekte kritieke kwetsbaarheid CVE-2020-0796 in het netwerkprotocol SMB 3.1.1.<\/p>\n","protected":false},"author":2706,"featured_media":25096,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[108,28,252,20,253],"tags":[334,575,734,110],"class_list":{"0":"post-25095","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-threats","9":"category-enterprise","10":"category-news","11":"category-smb","12":"tag-kwetsbaarheden","13":"tag-microsoft","14":"tag-smb","15":"tag-wannacry"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/smb-311-vulnerability\/25095\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/smb-311-vulnerability\/19519\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/smb-311-vulnerability\/16096\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/smb-311-vulnerability\/8038\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/smb-311-vulnerability\/21128\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/smb-311-vulnerability\/19390\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/smb-311-vulnerability\/17873\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/smb-311-vulnerability\/22070\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/smb-311-vulnerability\/20809\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/smb-311-vulnerability\/27594\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/smb-311-vulnerability\/7903\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/smb-311-vulnerability\/33991\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/smb-311-vulnerability\/14461\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/smb-311-vulnerability\/14532\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/smb-311-vulnerability\/13158\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/smb-311-vulnerability\/23259\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/smb-311-vulnerability\/11184\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/smb-311-vulnerability\/27846\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/smb-311-vulnerability\/21803\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/smb-311-vulnerability\/27009\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/smb-311-vulnerability\/26848\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/kwetsbaarheden\/","name":"kwetsbaarheden"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=25095"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25095\/revisions"}],"predecessor-version":[{"id":25107,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25095\/revisions\/25107"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/25096"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=25095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=25095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=25095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}