Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Vulnerabilidades do SMBv3 Explicadas

Vulnerabilidades do SMBv3 Explicadas

Jun 25, 2024

Os locais de trabalho evoluíram. Embora o trabalho híbrido e remoto existisse antes da COVID-19, esses arranjos de trabalho tornaram-se ainda mais prevalentes durante e após a pandemia. Hoje, os locais de trabalho oferecem a flexibilidade para que os funcionários trabalhem e acessem os recursos da empresa de qualquer lugar do mundo, com o protocolo Server Message Block (SMB) no centro disso. No entanto, essa flexibilidade abriu a porta para desafios de segurança cibernética mais significativos, porque é necessário mais do que o tradicional modelo de segurança baseado em perímetro.

Este artigo explorará essas preocupações com a segurança cibernética, particularmente no SMBv3, e fornecerá medidas práticas para identificar e mitigá-las.

O que é SMBv3?

O Server Message Block (SMB) refere-se a um protocolo de rede que permite que aplicações, computadores e dispositivos se comuniquem e compartilhem recursos, como arquivos, impressoras e portas seriais, através de uma rede. Ele facilita a comunicação entre clientes (dispositivos que solicitam acesso aos recursos) e servidores (dispositivos que fornecem recursos) em uma rede local (LAN) ou pela internet.

Desde a sua criação na década de 1980, o SMB teve várias iterações (com melhorias no desempenho e na segurança), sendo o SMBv3 a mais recente.

Vulnerabilidades SMBv3

Apesar das grandes melhorias feitas no SMBv3, ele ainda apresenta algumas vulnerabilidades de segurança, sendo a execução remota de código uma das mais preocupantes. Execução remota de código (RCE) é uma vulnerabilidade de segurança que permite a atores de ameaças executar ou rodar código malicioso em um computador ou rede, geralmente de forma remota, para obter controle completo.

SMBGhost (CVE-2020-0796)

Em 10 de março de 2020, a Microsoft publicou acidentalmente informações sobre uma vulnerabilidade recém-identificada (CVE-2020-0796) no SMBv3. Embora a Microsoft tenha rapidamente excluído essas informações, pesquisadores já as haviam notado. Isso forçou a Microsoft a publicar um formal advisory dois dias depois (12 de março de 2020).

Esses eventos levaram a comunidade de segurança a apelidar a CVE-2020-0796 de SMBGhost. De acordo com a Microsoft, essa vulnerabilidade poderia levar à execução remota de código no servidor, o que é sempre uma preocupação significativa como uma vulnerabilidade grave.

O aviso da Microsoft destacou que atores maliciosos podem explorar essa vulnerabilidade enviando um pacote especialmente criado para um alvo, o servidor SMBv3. Isso é muito semelhante à vulnerabilidade do SMBv1. A parte assustadora dessa vulnerabilidade é que pesquisadores a consideraram “wormable”, o que significa que, se alguém explorasse uma de suas máquinas, ela poderia potencialmente se espalhar de máquina em máquina por todo o seu ambiente.

A versão especificamente afetada foi a 3.1.1, a versão mais recente do SMBv3. A Microsoft também listou que a vulnerabilidade afetou todas as versões do Windows 10 e Windows Server executando as versões 1903 e 1909.

Felizmente, existem algumas possíveis mitigações e soluções alternativas para evitar esse problema e, em 3/12/2020, a Microsoft lançou um patch que aborda essa vulnerabilidade.

Conteúdo relacionado selecionado:

CVE-2022-24508

Dois anos após o SMBGhost, em 8 de março de 2022, a Microsoft lançou outra atualização de segurança relacionada ao SMBv3. Descrita como uma vulnerabilidade de execução remota de código na enumeração de arquivos Win32, a CVE-2022-24508 foi outra vulnerabilidade RCE afetando principalmente a versão 2004 do Windows 10 e versões mais recentes que suportam SMBv3.

Embora não haja tanta informação sobre o CVE-2022-24508 quanto sobre o SMBGhost, vale ressaltar que a Microsoft classificou a gravidade dessa vulnerabilidade como “importante”. Isso significa que as organizações ainda devem dar a ela a atenção necessária, tomando medidas para preveni-la.

Riscos e Impacto das Vulnerabilidades SMBv3

Uma vez que a vulnerabilidade de segurança mais significativa do SMBv3 é o RCE, esta seção explorará os riscos relacionados a essa ameaça. Estes incluem o seguinte:

  • Acesso Não Autorizado: O primeiro impacto de um ataque RCE é atores maliciosos obtendo acesso não autorizado à rede interna de uma organização. Isso pode ter consequências graves, como escalada de privilégios, que dá aos atacantes mais autoridade dentro da rede para realizar ações mais prejudiciais.
  • Violações de Dados: Os dados, especialmente os dados internos da empresa (segredos empresariais), são um dos ativos mais importantes das organizações. Se esses dados caíssem em mãos erradas, teriam efeitos devastadores. Assim, uma das principais razões pelas quais os atacantes realizam ataques RCE é para roubar dados sensíveis da empresa.
  • Propagação de Malware: Uma vez dentro de uma rede, os atacantes podem espalhar código malicioso através de privilege escalation para outras redes e dispositivos conectados.
  • Ataques de Ransomware: Os atores de ameaças também podem usar ataques RCE para manter recursos da empresa “reféns”. Nessa situação, os atacantes impedem que os administradores da empresa acessem a rede afetada ou criptografam dados essenciais e exigem pagamento em troca de acesso.
  • Não Conformidade Regulatória: Violação de dados pode colocar sua organização em risco de não conformidade com leis e regulamentos que regem o manuseio de dados, como o General Data Protection Regulation (GDPR) e o Health Insurance Portability and Accountability Act (HIPAA). Isso pode levar a multas pesadas por parte desses reguladores e a perda de confiança dos clientes.
  • Perdas Financeiras: Individualmente ou combinados, os riscos discutidos acima podem causar perdas significativas às organizações afetadas. As empresas correm o risco de sofrer graves perdas financeiras, desde pagar resgates até recuperar-se de perdas devido a tempos de inatividade e pagar multas por não conformidade regulatória.

Prevenção e Mitigação de Vulnerabilidades SMBv3

O primeiro (e mais óbvio) passo para prevenir vulnerabilidades SMBv3 é aplicar os patches que a Microsoft forneceu no passado. Esta é a maneira mais eficaz de mitigar vulnerabilidades identificadas que possuem soluções conhecidas.

Se, por qualquer motivo, você não puder aplicar os patches a curto prazo, a Microsoft identificou uma solução alternativa para impedir que atores de ameaças explorem isso. O problema está na compressão SMB, então desativar esse recurso do SMB protegerá você de um atacante tentando explorá-lo.

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

O código PowerShell acima atualizará seu registro e desativará o recurso de compressão em servidores SMB. Isso não protegerá seus clientes SMB; o código necessário para atualizar seus clientes está abaixo:

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 0 -Force

Felizmente, nenhuma dessas atualizações no registro requer reinicialização para surtir efeito.

Uma questão que você pode ter é sobre o impacto que desativar a compressão SMB terá. A Microsoft menciona em seu advisory que a compressão SMB ainda não é utilizada no Windows ou Windows Server. Não haverá nenhum impacto negativo no desempenho.

Melhores práticas para mitigar riscos associados a vulnerabilidades SMBv3

Embora aplicar os patches seja essencial e possa ajudar a proteger contra vulnerabilidades do SMBv2, existem várias coisas que você pode fazer para garantir a máxima proteção das redes da sua organização, incluindo o seguinte.

Use as Versões Mais Recentes do SMB

As versões mais recentes do SMB geralmente possuem atualizações que podem ajudar a proteger sua rede. Como mencionado anteriormente, a Microsoft lançou várias atualizações para o SMB desde sua criação. Embora a versão mais recente seja o SMBv3, ainda houve mini-atualizações dentro da versão e, até a escrita deste artigo, a mais recente é o SMB 3.1.1, desenvolvido para o Windows 10 e o Windows Server 2016. Por exemplo, esta versão possui várias atualizações que a tornam mais segura do que as versões anteriores, como:

  • Criptografia
  • Caching de Directory Management
  • Integridade pré-autenticação
  • Suporte para atualização em cluster contínua

Segmente sua Network

Em caso de um ataque, os agentes de ameaças podem usar a escalada de privilégios para espalhar o impacto por redes conectadas. Você pode reduzir a magnitude e o alcance do ataque dividindo sua rede em segmentos menores e isolados ou sub-redes. Desta forma, mesmo que os hackers explorem uma vulnerabilidade em um segmento, eles não podem usá-la para acessar outro na sua rede.

Monitoramento do Tráfego de Rede

Mesmo com correções e implementando as melhores práticas de segurança, você deve estar atento a comportamentos suspeitos ou anormais e até mesmo a assinaturas de ataques conhecidos dentro da sua rede. Para fazer isso, você pode implementar as seguintes estratégias:

  • Estabeleça uma linha de base do comportamento normal da rede; qualquer desvio desta deve ser sinalizado como uma ameaça potencial.
  • Utilize Sistemas de Detecção de Intrusão (IDS) e Sistemas de Prevenção de Intrusão (IPS)
  • Utilize ferramentas de análise de tráfego de rede
  • Analise dados de telemetria de endpoint e padrões de comportamento
  • Ative o registro em dispositivos de networks

Configure Firewalls

Os firewalls podem ser extremamente úteis na proteção da integridade da sua rede. Eles funcionam aplicando uma política de negação, onde a sua rede bloqueia qualquer tráfego de entrada e saída que não se enquadre na categoria “permitida” das configurações do firewall. Por exemplo, se você configurar firewalls para limitar o tráfego SMB a endereços IP específicos ou sub-redes, você pode ajudar a prevenir o acesso não autorizado proveniente de ataques de execução remota.

Como a Netwrix pode ajudar

As vulnerabilidades SMB sempre existiram e sempre existirão. Mas só porque essa é a realidade não significa que você deve aceitar isso como o status quo e não fazer nada a respeito. Você pode e deve tomar medidas proativas para proteger a rede da sua organização contra vulnerabilidades de segurança e os riscos associados.

Felizmente, a Netwrix pode ajudar. Temos soluções de Identity Threat Detection and Response (ITDR) que podem lhe proporcionar tranquilidade. As soluções ITDR da Netwrix ajudam você a identificar ameaças potenciais, fornecendo alertas em tempo real. Uma vez identificadas, essas soluções ajudam você a fechar rapidamente e de forma automática as ameaças com playbooks pré-definidos. Por fim, a Netwrix facilita um processo de recuperação rápido para sua rede, restaurando-a ao seu estado anterior ao ataque.

Precisa de uma solução proativa para prevenir vulnerabilidades SMBv3? Entre em contato conosco hoje para descobrir como podemos ajudar.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Kevin Joyce

Diretor de Product Management

Diretor de Product Management na Netwrix. Kevin tem uma paixão por segurança cibernética, especificamente em compreender as táticas e técnicas que os atacantes usam para explorar os ambientes das organizações. Com oito anos de experiência em product management, focando em Active Directory e segurança do Windows, ele levou essa paixão para ajudar a construir soluções para organizações protegerem suas identidades, infraestrutura e dados.

Saiba mais sobre este assunto

Encontrando Permissões do Active Directory que Podem Ser Abusadas com BloodHound

AD Certificate Services: Configurações de Risco e Sua Remediação

O que é um ataque DCSync?

How to Prevent Cyber Attacks: Strategies and Best Practices

Ataques Cibernéticos em 2023: Principais Incidentes e as Lições Aprendidas para 2025

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança