SMBGhost: la vulnerabilità del SMBv3 simile a quella responsabile di WannaCry. Microsoft rilascia patch di emergenza

Il Server Messagge Block è balzato agli onori delle cronache in piena diffusione della terribile campagna ransomware WannaCry: era grazie ad EternalBlue infatti, una vulnerabilità del Server Message Block v2 che WannaCry aveva potuto diffondersi di dispositivo in dispositivo lungo le reti infetti con la stessa virulenza di un worm. Per rinfrescarsi la memoria consigliamo questo post. 

Ora ci siamo di nuovo, pare, non a WannaCry fortunatamente, ma ad una vulnerabilità sempre del SMB, versione 3 stavolta, che consentirebbe di portare attacchi in modalità worm. 

Qualche dettaglio tecnico

La vulnerabilità in oggetto è la CVE-2020-0796), ribattezzata SMBGhost. E' un bug che riguarda il SMBv3, l'ultima versione appunto, usato per la condivisione in rete di stampanti e file in ambiente Windows. Può consentire ad un attaccante, se sfruttata, di portare un attacco da remoto inviando una serie di pacchetti appositamente confezionati, avviando così l'esecuzione di codice dannoso sulla macchina. Un bug sfruttabile quindi per portare attacchi worm in maniera del tutto simile a WannaCry. Un malware che dovesse sfruttare questa vulnerabilità sarebbe in grado di diffondersi autonomamente senza necessità di alcun vettore di attacco.

Fortunatamente la vulnerabilità è stata individuata prima che circolassero codici di exploit ed è già stata risolta, ma il problema si è già verificato in passato: pochi installano la patch, le macchine vulnerabili restano tantissime, almeno abbastanza da ritenere valido per gli attaccanti investire in un codice di exploit e tentare comunque varie tipologie di attacco. A tutt'oggi, ad esempio, rimangono tantissime macchine ancora esposte ad EternalBlue, tantochè WannaCry è ancora considerato una minaccia (consigliamo la lettura di questo articolo). 

E'urgente installare la patch!

Incredibilmente la patch di questa vulnerabilità non era stata inclusa nelle tornate di aggiornamenti e patch di sicurezza di Marzo 2020, con la quale Microsoft ha corretto ben 115 vulnerabilità, di cui due di livello critico. A questo punto Cisco Talos, che aveva pubblicato i primi dettagli su questa vulnerabilità, ha preferito rimuovere i contenuti per non fornire alcun "assist" agli attaccanti, una volta preso atto che Microsoft non aveva reso disponibile il fix. Altre società di sicurezza però non avevano ricevuto la notifica del rinvio della patch, quindi molte altre analisi della vulnerabilità sono rimaste online. 

Fortunatamente Microsoft "ci ha messo una pezza", potremmo dire, risolvendo la questione con una patch di emergenza, come si può leggere qui dal loro sito. L'aggiornamento viene distribuito con Windows Update, ma può anche essere eseguito manualmente dal Windows Update Catalog per la versione del vostro sistema operativo.