Se agregó que McAfee Enterprise ha publicado un paquete de contenido de prevención de exploits de ENS actualizado (versión 10050) que contiene una nueva firma: 6157-SMB V3 vulnerabilidad de ejecución remota de código (CVE-2020-0796).
12 de marzo de 2020
Se ha agregado ese Microsoft ha publicado una actualización fuera de banda. Se han agregado notas específicas del producto para Firewall de Endpoint Security, Host Intrusion Prevention y Network Security Platform.
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
McAfee empresa conoce la vulnerabilidad de ejecución remota de código (RCE) reciente en Microsoft Server Message Block SMBv3 (CVE-2020-0796). McAfee empresa está trabajando para identificar contramedidas a fin de contribuir a la protección contra esta vulnerabilidad. McAfee Enterprise actualizará este artículo a medida que haya más actualizaciones disponibles.
Microsoft emitido un notificación que describe el problema y proporciona soluciones iniciales.
En este documento, Microsoft también sugiere que impedir tráfico de SMB a la realización de conexiones laterales, así como a la entrada o salida de la red.
Microsoft publicado una actualización fuera de banda el 12 de marzo de 2020 para cubrir esta vulnerabilidad. McAfee Enterprise recomienda encarecidamente implementar esta actualización lo antes posible.
Los siguientes productos de McAfee Enterprise detectan o bloquean esta amenaza y proporcionan a las organizaciones los medios para responder de forma puntual.
Haga clic para expandir la sección que desee ver:
McAfee Enterprise ha publicado un paquete de contenido de prevención de exploits de ENS actualizado (versión 10050) que contiene una nueva firma: 6157-SMB V3 vulnerabilidad de ejecución remota de código (CVE-2020-0796). Esta firma está desactivada de forma predeterminada. Realice pruebas adecuadas antes de activar esta regla para ayudar a evitar falsos positivos. Los clientes que reciban esta actualización de contenido deben encontrarse en la versión V3 de definición de virus 3786 o superior para que esta firma funcione correctamente.
O bien, estos bloques de puertos se pueden implementar en el módulo Firewall de ENS y en el componente Firewall de host IPS.
Protocolo de aplicación
Protocolo
Importe
SMB
TCP
445
Resolución de nombres NetBIOS
UDP
137
Servicio de datagramas NetBIOS
UDP
138
Servicio de sesión de NetBIOS
TCP
139
Si utiliza ENS Firewall 10.7.0 para administrar el tráfico de red, en concreto el puerto NetBIOS 137, 138, 139 y 445, tenga en cuenta el problema conocido que se indica a continuación:
El equipo de Network Security Platform ha publicado la versión de versión de conjunto de firmas 10.8.7.2 el 10 de marzo de 2020 para detectar esta vulnerabilidad.
La firma tiene el siguiente nombre e ID de ataque:
Para obtener notas de la versión e información adicional sobre la versión del conjunto de firmas de emergencia, consulte: KB55446-actualizaciones de conjunto de firmas de seguridad de red REGISTRADAs. NOTA: El contenido al que se hace referencia está disponible solo para aquellos usuarios que hayan iniciado sesión en ServicePortal. Para ver el contenido, haga clic en el enlace e inicie sesión cuando se le solicite.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.