McAfee risposta Enterprise a Microsoft Server Message Block vulnerabilità SMBv3 RCE (CVE-2020-0796)
Articoli tecnici ID:
KB92502
Ultima modifica: 23/09/2021
Riepilogo
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
30 luglio 2021
Rimarchiato per McAfee Enterprise.
1 aprile 2020
Ha aggiunto che McAfee Enterprise ha rilasciato un pacchetto di contenuti aggiornato di ENS Exploit Prevention (versione 10050) che contiene una nuova firma: 6157-SMB V3 vulnerabilità di esecuzione di codice remoto (CVE-2020-0796).
12 marzo 2020
Ha aggiunto che Microsoft ha rilasciato un aggiornamento out-of-band. Sono state aggiunte note specifiche del prodotto per Firewall Endpoint Security, Host Intrusion Prevention e Network Security Platform.
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
McAfee Enterprise è al corrente della recente vulnerabilità di esecuzione remota di codice (RCE) in Microsoft Server Message Block SMBv3 (CVE-2020-0796). McAfee Enterprise sta lavorando per identificare le contromisure che aiutano a proteggersi contro questa vulnerabilità. McAfee Enterprise aggiornerà questo articolo quando saranno disponibili ulteriori aggiornamenti.
Microsoft emesso un consultivo che descrive il problema e fornisce soluzioni alternative iniziali.
In questo avviso, Microsoft suggerisce anche di Impedisci traffico SMB di effettuare connessioni laterali e di entrare o uscire dalla rete.
Microsoft rilasciato un aggiornamento out-of-band il 12 marzo 2020 per coprire questa vulnerabilità. McAfee Enterprise consiglia vivamente di implementare questo aggiornamento il prima possibile.
I seguenti prodotti McAfee Enterprise rilevano o bloccano questa minaccia e forniscono alle organizzazioni i mezzi per rispondere in modo tempestivo.
Fare clic per espandere la sezione che si desidera visualizzare:
McAfee Enterprise ha rilasciato un pacchetto di contenuti per la prevenzione exploit di ENS aggiornato (versione 10050) che contiene una nuova firma: 6157-SMB V3 vulnerabilità di esecuzione di codice remoto (CVE-2020-0796). Questa firma è disattivata per impostazione predefinita. Eseguire i test appropriati prima di attivare questa regola per aiutare a prevenire i falsi positivi. I client che ricevono questo aggiornamento di contenuti devono essere nella versione di definizione dei virus V3 3786 o superiore affinché la firma funzioni correttamente.
In alternativa, questi blocchi di porte possono essere implementati nel modulo Firewall di ENS e nel componente firewall di host IPS.
Protocollo applicazione
Protocollo
Porta
SMB
TCP
445
Risoluzione dei nomi NetBIOS
UDP
137
Servizio datagramma NetBIOS
UDP
138
Servizio di sessione NetBIOS
TCP
139
Se si sta utilizzando ENS firewall 10.7.0 per gestire il traffico di rete, in particolare la porta NetBIOS 137, 138, 139 e 445, tenere presente il problema noto di seguito:
Per le note di rilascio e ulteriori informazioni sul rilascio del set di firme di emergenza, consultare: KB55446-registrato-aggiornamenti del set di firme di sicurezza di rete. Nota Il contenuto a cui si fa riferimento è disponibile solo per gli utenti che hanno effettuato l'accesso a ServicePortal. Per visualizzare il contenuto, fare clic sul collegamento e accedere quando richiesto.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.