13 Giugno 2020 - Tempo di lettura: 22 minuti
I ricercatori hanno scoperto bug critici come "SMBleed" nel protocollo di comunicazione di rete Microsoft Server Message Block (SMB).
Questo difetto di sicurezza è stato nominato come SMBleed e identificato come CVE-2020-1206; questa vulnerabilità potrebbe facilmente consentire agli aggressori di diffondere tutti i dati riservati dalla memoria del kernel da remoto.
Combinato questo tipo di vulnerabilità con il bug precedente che è un wormable, il difetto può essere facilmente utilizzato per eseguire diversi attacchi di esecuzione di codice in modalità remota.
Ma, a parte questo, recentemente, è stata rilevata una controversia nella funzione di decompressione della SMB, è SMBGhost (CVE-2020-0796 ), che è stata divulgata tre mesi fa, e questa ricerca di vulnerabilità può aprire i sistemi vulnerabili di Windows agli attacchi di malware che può eseguire le sue operazioni attraverso le reti.
Secondo il rapporto Zeccops, è dovuto al fatto che la funzione di decompressione "Srv2DecompressData" nel protocollo SMB è in grado di elaborare richieste di messaggi appositamente predisposte (ad esempio, SMB2 WRITE) inviate al server di destinazione SMBv3. Pertanto, un utente malintenzionato può leggere facilmente i dati nella memoria del kernel e apportare modifiche alla funzione di compressione.
Questa vulnerabilità riguarda le versioni di Windows 10 del 1903 e del 1909 e Microsoft ha recentemente pubblicato anche le patch di sicurezza.
Hanno annunciato proprio la scorsa settimana che stanno forzando gli utenti di Windows 10 in modo che possano aggiornare i loro dispositivi dopo aver sfruttato il codice per il bug SMBGhost che è stato pubblicizzato online di recente.
Bene, tutta questa vulnerabilità riguarda i messaggi SMB e questi messaggi includono principalmente campi come il numero di byte da indirizzare e contrassegnare, e quindi sono accompagnati da un buffer di lunghezza variabile. Creando questo, i messaggi diventano abbastanza facili, quindi questo è uno strumento perfetto per l'esposizione.
Ma ci sono alcune variabili che contengono dati non inizializzati e, pertanto, aggiungiamo una diversa caratteristica alla funzione di compressione basata sul nostro POC sul repository WindowsProtocolTestSuites di Microsoft.
Aggiungendo questo non sarà sufficiente, poiché POC ha bisogno di credenziali diverse e di una condivisione scrivibile, che sono facilmente accessibili in molte situazioni. Tuttavia, il bug si riferisce a ogni ricerca del messaggio in modo che possa essere utilizzato in remoto per qualsiasi autenticazione.
Ancora più importante, la memoria che è trapelata è generalmente correlata all'allocazione precedente nel pool NonPagedPoolNx, in quanto siamo in grado di gestire la dimensione di allocazione, il che implica che i dati trapelati potrebbero entrare in una certa misura nel nostro controllo.
Gli esperti di sicurezza informatica hanno raccomandato agli utenti domestici e aziendali di installare l'ultima versione di Windows, poiché questa vulnerabilità si trova in Windows 10 versione 1909 e 1903, come abbiamo detto in precedenza.
Ma ci sono alcune situazioni in cui la Patch non è applicabile, quindi in quel momento, gli utenti dovrebbero semplicemente bloccare la porta 445 per fermare qualsiasi movimento parallelo e sfruttamento remoto sul proprio sistema vulnerabile.
Ecco le versioni di Windows interessate da questo difetto di sicurezza con gli aggiornamenti applicabili installati: -
Windows 10 Version 2004
Aggiornare | SMBGhost | SMBleed |
KB4557957 | Non vulnerabile | Non vulnerabile |
Prima di KB4557957 | Non vulnerabile | Vulnerabile |
Windows 10 Version 1909
Aggiornare | SMBGhost | SMBleed |
KB4560960 | Non vulnerabile | Non vulnerabile |
KB4551762 | Non vulnerabile | Vulnerabile |
Prima di KB4551762 | Vulnerabile | Vulnerabile |
Windows 10 Version 1903
Aggiornare | Bug null dereference | SMBGhost | SMBleed |
KB4560960 | Fisso | Non vulnerabile | Non vulnerabile |
KB4551762 | Fisso | Non vulnerabile | Vulnerabile |
KB4512941 | Fisso | Vulnerabile | Vulnerabile |
Nessuno dei precedenti | Non riparato | Vulnerabile | Potenzialmente vulnerabile |
A parte tutto ciò, se un utente malintenzionato non autorizzato desidera sfruttare questa vulnerabilità, l'utente malintenzionato deve configurare un server SMBv3 dannoso e convincere l'utente a connettersi ad esso.