CVE-2020-17051: desbordamiento de montón de kernel remoto en NFSv3 Home windows Server


Puntaje CVSS: 9.8

Vector: CVSS: 3. /AV: N/ AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H / E: U / RL: O / RC: C

Visión typical

Microsoft lanzó hoy un parche para una vulnerabilidad crítica (CVE-2020-17051) en las ventanas NFSv3 (Sistema de archivos de purple) server. NFS se utiliza normalmente en entornos heterogéneos de Home windows y Unix / Linux para compartir archivos. La vulnerabilidad se puede reproducir a porque un BSOD inmediato (pantalla azul de la muerte) dentro del controlador nfssvr.sys. Curiosamente, los parches de noviembre de Microsoft también incluyen un vulnerabilidad de lectura de datos del kernel remoto en el mismo controlador nfssvr.sys (CVE-2020-17056), lo que lleva a un ASLR potencial (direcciónespacio ss diseño aleatorización) derivación. La combinación de estas dos vulnerabilidades aumenta drásticamente la probabilidad de un mando a distancia explotar cuando se united states en Ventanas Server evitar explotar mitigaciones. CVE-2020-17051 es la primera vulnerabilidad conocida que se ha revelado dentro de Windows implementacion de Protocolo NFSv3 según nuestro leal saber y entender.

Superficie de amenaza

Se cree que la vulnerabilidad afecta a todas las versiones de Home windows Servidor cuando:

  1. Un el usuario autenticado tiene escribir acceso a cualquier recurso compartido de NFS.
  2. Un Compartir NFS ha sido configurado con anónimo escribir access (no se requiere autenticación)

Una consulta de Shodan informó 38.893 servidores con puerto 2049 expuesto a online sin embargo, eso yos desconocido que porcentaje de estos servidores son en realidad NFS Comparte y genuinely configurado con anónimo escribir acceso. los técnica de descubrimiento de recursos compartidos de purple es utilizado típicamente por un adversario dentro del fase de descubrimiento del marco MITRE ATT & CK con el objetivo de obtener más privilegios. CVE-2020-17051 le daría a los adversarios la capacidad de propagarse gusanocomo en entornos heterogéneos de Windows y Unix / Linux que utilizan recursos compartidos de archivos de acceso de escritura anónimos sobre NFSv3.

Mitigación

Parchear es siempre el primer y más eficaz curso de acción. Si no es posible parche, los la mejor mitigación es limitar Windows NFSv3 acceso de escritura compartido del servidor internamente y bloquear uny acceso externo a servidores vulnerables. Para aquellos clientes de McAfee que no pueden implementar el parche de Windows, las siguientes firmas de Community Protection System (NSP) proporcionarán un parche digital contra el intento de explotación de esta vulnerabilidad..

ID de ataque NSP: 0x40c01200 – NFS Vulnerabilidad de ejecución remota de código del sistema de archivos de red de Microsoft Home windows (CVE-2020-17051)





Enlace a la noticia authentic