Adicionado que McAfee Enterprise lançou um pacote de conteúdo atualizado da prevenção de exploração do ENS (versão 10050) que contém uma nova assinatura: 6157-SMB vulnerabilidade de execução remota de código (CVE-2020-0796).
12 de março de 2020
Foi adicionado que Microsoft lançou uma atualização fora de banda. Anotações específicas do produto adicionadas para Firewall do Endpoint Security, Host Intrusion Prevention e plataforma de segurança de rede.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
A McAfee Enterprise está ciente da vulnerabilidade de execução remota de código remoto (RCE) no SMBv3 do bloqueio de mensagens do servidor do Microsoft (CVE-2020-0796). McAfee Enterprise está funcionando para identificar contramedidas para ajudar a proteger contra essa vulnerabilidade. McAfee Enterprise irá atualização este artigo à medida que mais atualizações se tornarem disponíveis.
Microsoft emitiu uma Assessoria Isso descreve o problema e fornece as soluções alternativas iniciais.
Neste comunicado, Microsoft também sugere que você impedir tráfego de SMB faça conexões laterais e a partir da entrada ou saída da rede.
Microsoft lançou uma atualização fora de banda em 12 de março de 2020 para cobrir essa vulnerabilidade. McAfee Enterprise é altamente recomendável implementar essa atualização assim que possível.
Os McAfee produtos corporativos a seguir detectam ou bloqueiam essa ameaça e fornecem às organizações o meio de responder em tempo hábil.
Clique para expandir a seção que você deseja exibir:
A McAfee Enterprise lançou um pacote de conteúdo atualizado da prevenção de exploração ENS (versão 10050) que contém uma nova assinatura: 6157-SMB vulnerabilidade de execução remota de código (CVE-2020-0796). Essa assinatura está desativada por padrão. Execute os testes apropriados antes de ativar esta regra para ajudar a evitar falsos positivos. Os clientes que recebem esse atualização de conteúdo devem estar na 3786 versão de definição de vírus v3, ou superior, para que essa assinatura funcione corretamente.
Ou, esses blocos de portas podem ser implementados no módulo Firewall do ENS e no componente Firewall do host IPS.
Protocolo de aplicativo
Protocolo
Porta
SMB
TCP
445
Resolução de nomes NetBIOS
UDP
137
Serviço de datagrama NetBIOS
UDP
138
Serviço de sessão NetBIOS
TCP
139
Se você estiver usando o ENS Firewall 10.7.0 para gerenciar o tráfego de rede, especificamente o tráfego de portas NetBIOS 137, 138, 139 e 445, esteja ciente do problema conhecido abaixo:
A equipe da plataforma de segurança de rede liberou a versão de lançamento do conjunto de assinaturas 10.8.7.2 em 10 de março de 2020 para detectar essa vulnerabilidade.
Para obter notas de versão e informações adicionais sobre a liberação do conjunto de assinaturas de emergência, consulte: KB55446-registrado-atualizações de conjunto de assinaturas de segurança de rede. NOTA: o conteúdo mencionado está disponível somente para usuários conectados ao ServicePortal. Para exibir o conteúdo, clique no link e entre quando solicitado.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.