Oltre a correggere ben 115 vulnerabilità di sicurezza con vari livelli di pericolosità, il Patch Tuesday di marzo 2020 presenta almeno un “buco” per una falla critica che al momento non risulta ancora corretta. La vulnerabilità CVE-2020-0796 è stata resa nota al pubblico senza patch di accompagnamento, un evidente errore di programmazione che ha sorpreso anche i partner commerciali di Microsoft.
Il bug CVE-2020-0796 riguarda il modo in cui il protocollo Server Message Block 3.1.1 (SMBv3) gestisce alcune richieste di rete, spiega l’advisory ufficiale di Microsoft, fornendo a un malintenzionato un potenziale mezzo di attacco attraverso cui eseguire codice malevolo da remoto sul sistema bersaglio.
La vulnerabilità risulta presente nelle versioni 1903 e 1909 di Windows ed è classificata con un livello di pericolosità critica, e invece di una patch Microsoft fornisce alcune istruzioni su come mitigare i rischi disabilitando la compressione del protocollo SMBv3 e bloccando le comunicazioni sulla porta TCP 445 tramite firewall.
La pubblicazione di un avviso di sicurezza senza alcun download correttivo è un fatto a dir poco insolito per le abitudini di Microsoft, tanto più che i partner della corporation hanno confermato l’esistenza del bug pubblicando i loro report dedicati. La spiegazione più semplice lascia intendere che una patch in grado di chiudere la falla CVE-2020-0796 fosse inizialmente inclusa nel Patch Tuesday del mese, ma è stata ritirata all’ultimo minuto per qualche problema identificato dagli sviluppatori.