SMBleed - Nuovo bug del protocollo SMB di Windows

SMBleed - Nuovo bug del protocollo SMB di Windows

I ricercatori hanno scoperto bug critici come "SMBleed" nel protocollo di comunicazione di rete Microsoft Server Message Block (SMB).

Questo difetto di sicurezza è stato nominato come SMBleed e identificato come CVE-2020-1206questa vulnerabilità potrebbe facilmente consentire agli aggressori di diffondere tutti i dati riservati dalla memoria del kernel da remoto.

Combinato questo tipo di vulnerabilità con il bug precedente che è un wormable, il difetto può essere facilmente utilizzato per eseguire diversi attacchi di esecuzione di codice in modalità remota.

Ma, a parte questo, recentemente, è stata rilevata una controversia nella funzione di decompressione della SMB, è SMBGhost (CVE-2020-0796 ), che è stata divulgata tre mesi fa, e questa ricerca di vulnerabilità può aprire i sistemi vulnerabili di Windows agli attacchi di malware che può eseguire le sue operazioni attraverso le reti.

Secondo il rapporto Zeccops, è dovuto al fatto che la funzione di decompressione "Srv2DecompressData" nel protocollo SMB è in grado di elaborare richieste di messaggi appositamente predisposte (ad esempio, SMB2 WRITE) inviate al server di destinazione SMBv3. Pertanto, un utente malintenzionato può leggere facilmente i dati nella memoria del kernel e apportare modifiche alla funzione di compressione.

Questa vulnerabilità riguarda le versioni di Windows 10 del 1903 e del 1909 e Microsoft ha recentemente pubblicato anche le patch di sicurezza.

Hanno annunciato proprio la scorsa settimana che stanno forzando gli utenti di Windows 10 in modo che possano aggiornare i loro dispositivi dopo aver sfruttato il codice per il bug SMBGhost che è stato pubblicizzato online di recente.

Sfruttamento di base

Bene, tutta questa vulnerabilità riguarda i messaggi SMB e questi messaggi includono principalmente campi come il numero di byte da indirizzare e contrassegnare, e quindi sono accompagnati da un buffer di lunghezza variabile. Creando questo, i messaggi diventano abbastanza facili, quindi questo è uno strumento perfetto per l'esposizione.

Ma ci sono alcune variabili che contengono dati non inizializzati e, pertanto, aggiungiamo una diversa caratteristica alla funzione di compressione basata sul nostro POC sul repository WindowsProtocolTestSuites di Microsoft.

Aggiungendo questo non sarà sufficiente, poiché POC ha bisogno di credenziali diverse e di una condivisione scrivibile, che sono facilmente accessibili in molte situazioni. Tuttavia, il bug si riferisce a ogni ricerca del messaggio in modo che possa essere utilizzato in remoto per qualsiasi autenticazione. 

Ancora più importante, la memoria che è trapelata è generalmente correlata all'allocazione precedente nel pool NonPagedPoolNx, in quanto siamo in grado di gestire la dimensione di allocazione, il che implica che i dati trapelati potrebbero entrare in una certa misura nel nostro controllo.

Gli esperti di sicurezza informatica hanno raccomandato agli utenti domestici e aziendali di installare l'ultima versione di Windows, poiché questa vulnerabilità si trova in Windows 10 versione 1909 e 1903, come abbiamo detto in precedenza. 

Ma ci sono alcune situazioni in cui la Patch non è applicabile, quindi in quel momento, gli utenti dovrebbero semplicemente bloccare la porta 445 per fermare qualsiasi movimento parallelo e sfruttamento remoto sul proprio sistema vulnerabile.

TL; DR

  • Inizialmente, osservando SMBGhost, gli esperti di sicurezza hanno scoperto l'ennesima vulnerabilità che è SMBleed.
  • Questa vulnerabilità si concentra sulla rivelazione remota della memoria del kernel.
  • SMBleed consente la produzione di Remote Code Execution (RCE) pre-autorizzazione se combinata con SMBGhost.
  • Esistono due collegamenti principali, POC # 1: lettura della memoria del kernel remoto SMBleed e POC # 2: Pre-Auth RCE che combina SMBleed con SMBGhost.

Versioni di Windows interessate

Ecco le versioni di Windows interessate da questo difetto di sicurezza con gli aggiornamenti applicabili installati: -

Windows 10 Version 2004

Aggiornare SMBGhost SMBleed
KB4557957 Non vulnerabile Non vulnerabile
Prima di KB4557957 Non vulnerabile Vulnerabile

Windows 10 Version 1909

Aggiornare SMBGhost SMBleed
KB4560960 Non vulnerabile Non vulnerabile
KB4551762 Non vulnerabile Vulnerabile
Prima di KB4551762 Vulnerabile Vulnerabile

Windows 10 Version 1903

Aggiornare Bug null dereference SMBGhost SMBleed
KB4560960 Fisso Non vulnerabile Non vulnerabile
KB4551762 Fisso Non vulnerabile Vulnerabile
KB4512941 Fisso Vulnerabile Vulnerabile
Nessuno dei precedenti Non riparato Vulnerabile Potenzialmente vulnerabile

Attenuazione

  • Aggiorna Windows alla versione più recente, in quanto ciò risolverà del tutto il problema.
  • Bloccare la porta 445 per interrompere qualsiasi movimento parallelo.
  • Isolare l'host.
  • Disabilitare la compressione SMB 3.1.1, ma è necessario tenere presente che gli esperti di sicurezza non lo consigliano.

A parte tutto ciò, se un utente malintenzionato non autorizzato desidera sfruttare questa vulnerabilità, l'utente malintenzionato deve configurare un server SMBv3 dannoso e convincere l'utente a connettersi ad esso.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.