Un paio di giorni fa è stato pubblicato, pur parzialmente, un proof-of concept utile a sfruttare una vulnerabilità 0-day nel protocollo SMB (Server Message Block) che riguarda moltissime versioni dei sistemi operativi Windows, come Windows 10, 8.1, Server 2012 e server 2016.
Lo United States Computer Emergency Readiness Team (US-CERT), ha pubblicato un annuncio ufficiale, leggibile qui.
La vulnerabilità può mandare in crash il SO o, forse, peggio
Secondo gli esperti dell 'US-CERT la vulnerabilità 0-day in questione conduce ad uno stato di Denial-Of-Service che manda in crash il sistema operativo e che può, almeno potenzialmente, consentire ad un attaccante di ottenere l'accesso alla macchina e eseguire codici arbitrari, sebbene questo scenario non sia stato ancora confermato ufficialmente.
Nel dettaglio, riferisce l'US-CERT
"Windows Microsoft non riesce a gestire correttamente il traffico da un server dannoso. Nel dettaglio Windows non riesce a gestire correttamente la risposta di un server che contiene troppi byte che seguono la struttura definita nella struttura SMB2 TREE_CONNECT Response. La connessione ad un server SMB dannoso potrebbe mandare in crash un eventuale sistema client Windows nel file mrxsmb20.sys"
L'US-CERT conferma di aver verificato tramite test che questo problema è confermato per le versioni di Windows 8.1 e 10 (anche se perfettamente aggiornati). Il ricercatore che ha individuato l'esistenza di questa 0-day conferma che questo problema vale anche Windows Server 2012 e 2016.
0-day a punteggio massimo.
Questa vulnerabilità ha ricevuto il massimo punteggio di criticità: questo punteggio indica che la vulnerabilità è facilmente sfruttabile da aggressori non qualificati e può essere sfruttata da remoto.
Soluzioni?
Attualmente non esise una soluzione a questa problematica. L'US-CERT raccomanda che gli amministratori di sistema blocchino le connessioni SMB in uscita (porte TCP 139 e 445 insieme alle porte UDP 137 e 138).
L'SMB è un protocollo piuttosto vecchio usato nelle reti locali per consentire ai computer di accedere ai file, alle stampanti alle pore di serie e varie comunicazioni tra i nodi della rete. Ci sono tre versioni di questo protocollo: Microsoft per ora consiglia agli amministratori di sistema di disabilitare SMBv1 e passare a SMBv2 o SMBv3 (consigliata).
Nessun commento:
Posta un commento