McAfee vulnérabilité de type réponse d’entreprise à Microsoft Server Message Block SMBv3 RCE (CVE-2020-0796)
Articles techniques ID:
KB92502
Date de la dernière modification : 23/09/2021
Synthèse
Mises à jour récentes de cet article
Date
Mise à jour
30 juillet 2021
Modification de la marque pour McAfee Enterprise.
1er avril 2020
Ajouté que McAfee entreprise a publié un package de contenu de prévention contre les exploits ENS mis à jour (version 10050) qui contient un nouveau signature : 6157-SMB vulnérabilité de type exécution de code à distance v3 (CVE-2020-0796).
12 mars 2020
Ajout de cette Microsoft a publié une mise à jour hors bande. Ajout de notes propres aux produits pour Pare-feu Endpoint Security, Host Intrusion Prevention et Network Security Platform.
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
McAfee entreprise connaît la vulnérabilité de type exécution de code à distance (RCE) récente dans Microsoft Server Message Block SMBv3 (CVE-2020-0796). McAfee Enterprise travaille pour identifier les contre-mesures visant à se protéger contre cette vulnérabilité. McAfee Enterprise mettra à jour cet article à mesure que des mises à jour seront disponibles.
Microsoft a émis un CERT qui décrit le problème et fournit des solutions temporaires initiales.
Dans cet avis de sécurité, Microsoft vous suggère également empêcher le trafic SMB d’effectuer des connexions latérales et d’entrer ou de quitter le réseau.
Microsoft a libéré une mise à jour hors bande le 12 mars 2020 pour couvrir cette vulnérabilité. McAfee Enterprise recommande vivement d’implémenter cette mise à jour dès que possible.
Les produits McAfee Enterprise suivants détectent ou bloquent cette menace et fournissent aux organisations les moyens de réagir en temps opportun.
Cliquez pour développer la section que vous souhaitez afficher :
McAfee entreprise a publié un package de contenu de prévention contre les exploits ENS mis à jour (version 10050) qui contient un nouveau signature : 6157-SMB vulnérabilité d’exécution de code à distance (CVE-2020-0796). Cette signature est désactivée par défaut. Effectuez les tests appropriés avant d’activer cette règle afin d’éviter les faux positifs. Les clients qui reçoivent cette mise à jour de contenu doivent se trouver sur une définition de virus v3 version 3786 ou ultérieure pour que cette signature fonctionne correctement.
Ou, ces blocs de ports peuvent être mis en œuvre dans le module pare-feu de ENS et dans le composant pare-feu de Host IPS.
Protocole d’application
Protocole
Utilisé
SMB
TCP
445
Résolution de noms NetBIOS
UDP
137
Service de datagramme NetBIOS
UDP
138
Service de session NetBIOS
TCP
139
Si vous utilisez le pare-feu ENS 10.7.0 pour gérer le trafic réseau, en particulier le port NetBIOS 137, 138, 139 et 445, tenez compte du problème connu ci-dessous :
Pour obtenir les notes de publication et des informations supplémentaires sur la version de l’ensemble de signature d’urgence, consultez : KB55446-REGISTERed-mises à jour de jeu de signatures de sécurité réseau. REMARQUE : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
