Cercetătorii din domeniul securității cibernetice au descoperit recent o nouă vulnerabilitate critică, care afectează protocolul SMB (Server Message Block) care ar putea permite atacatorilor să descarce de la distanță memoria kernelului, iar atunci când este combinată cu o eroare „wormable” dezvăluită anterior, vulnerabilitatea poate fi exploatată pentru a realiza atacuri de executare de cod la distanță.
Denumit „SMBleed” (CVE-2020-1206) de către firma de cibersecuritate ZecOps, vulnerabilitatea se află în funcția de decompresie a SMB – aceeași funcție ca în cazul SMBGhost sau bug-ului EternalDarkness (CVE-2020-0796), care a apărut în urmă cu trei luni, deschizând sistemele Windows vulnerabile la atacuri malware care se pot propaga prin rețele.
Vulnerabilitatea recent descoperită afectează Windows 10 versiunile 1903 și 1909, pentru care Microsoft a lansat astăzi patch-uri de securitate ca parte a actualizărilor sale lunare Patch Tuesday pentru iunie.
Dezvoltarea vine în condițiile în care Agenția Americană pentru Securitate Cibernetică și Infrastructură (CISA) a emis săptămâna trecută un aviz care avertizează utilizatorii Windows 10 să își actualizeze sistemele după ce codul de exploatare pentru bug-ul SMBGhost a fost publicat online săptămâna trecută.
SMBGhost a fost considerat atât de grav, încât a primit un scor de rating de severitate maximă de 10.
„Deși Microsoft a dezvăluit și a furnizat actualizări pentru această vulnerabilitate în martie 2020, actorii cibernetici rău intenționați vizează sisteme neatacate cu noul PoC, conform rapoartelor recente open-source”, a spus CISA.
SMB, care se procesează pe portul TCP 445, este un protocol de rețea care oferă baza pentru partajarea fișierelor, navigarea în rețea, serviciile de imprimare și comunicarea interproces într-o rețea.
Potrivit cercetătorilor ZecOps, vulnerabilitatea provine din modul în care funcția de decompresie în cauză („Srv2DecompressData”) gestionează cererile de mesaje special concepute (de exemplu, SMB2 WRITE) trimise către un server SMBv3 vizat, permițând unui atacator să citească memoria kernel-ului neinițializat și să facă modificări la funcția de compresie.
„Structura mesajului conține câmpuri cum ar fi cantitatea de octeți de scriere și flag-uri, urmată de un buffer de lungime variabilă”, au spus cercetătorii. „Este perfect pentru exploatarea erorii, deoarece putem crea un mesaj astfel încât să specificăm antetul, dar bufferul cu lungime variabilă conține date neinițializate.”
„Un atacator care a exploatat cu succes vulnerabilitatea ar putea obține informații pentru a compromite în continuare sistemul utilizatorului. Pentru a exploata vulnerabilitatea împotriva unui server, un atacator neautentificat ar putea trimite un pachet special conceput către un server SMBv3 vizat”, a spus Microsoft în avizul său.
„Pentru a exploata vulnerabilitatea împotriva unui client, un atacator neautentificat ar trebui să configureze un server SMBv3 dăunător și să convingă un utilizator să se conecteze la acesta”, a adăugat Microsoft.
Mai rău, SMBleed poate să se lege cu SMBGhost pe sistemele Windows 10 neatacate pentru a realiza executarea de la distanță a codului. De asemenea, firma a lansat o dovadă de concept a codului de exploatare care demonstrează vulnerabilitățile.