smbleed, windows smb protocol

SMBleed: o nouă vulnerabilitate critică afectează protocolul Windows SMB

Foarte multe business-uri ar putea fi vulnerabile online pe acest protocol atacat în Windows 10.

Cercetătorii din domeniul securității cibernetice au descoperit recent o nouă vulnerabilitate critică, care afectează protocolul SMB (Server Message Block) care ar putea permite atacatorilor să descarce de la distanță memoria kernelului, iar atunci când este combinată cu o eroare „wormable” dezvăluită anterior, vulnerabilitatea poate fi exploatată pentru a realiza atacuri de executare de cod la distanță.

Denumit „SMBleed” (CVE-2020-1206) de către firma de cibersecuritate ZecOps, vulnerabilitatea se află în funcția de decompresie a SMB – aceeași funcție ca în cazul SMBGhost sau bug-ului EternalDarkness (CVE-2020-0796), care a apărut în urmă cu trei luni, deschizând sistemele Windows vulnerabile la atacuri malware care se pot propaga prin rețele.

Vulnerabilitatea recent descoperită afectează Windows 10 versiunile 1903 și 1909, pentru care Microsoft a lansat astăzi patch-uri de securitate ca parte a actualizărilor sale lunare Patch Tuesday pentru iunie.

Dezvoltarea vine în condițiile în care Agenția Americană pentru Securitate Cibernetică și Infrastructură (CISA) a emis săptămâna trecută un aviz care avertizează utilizatorii Windows 10 să își actualizeze sistemele după ce codul de exploatare pentru bug-ul SMBGhost a fost publicat online săptămâna trecută.

SMBGhost a fost considerat atât de grav, încât a primit un scor de rating de severitate maximă de 10.

smbleed, windows smb protocol

„Deși Microsoft a dezvăluit și a furnizat actualizări pentru această vulnerabilitate în martie 2020, actorii cibernetici rău intenționați vizează sisteme neatacate cu noul PoC, conform rapoartelor recente open-source”, a spus CISA.

SMB, care se procesează pe portul TCP 445, este un protocol de rețea care oferă baza pentru partajarea fișierelor, navigarea în rețea, serviciile de imprimare și comunicarea interproces într-o rețea.

Potrivit cercetătorilor ZecOps, vulnerabilitatea provine din modul în care funcția de decompresie în cauză („Srv2DecompressData”) gestionează cererile de mesaje special concepute (de exemplu, SMB2 WRITE) trimise către un server SMBv3 vizat, permițând unui atacator să citească memoria kernel-ului neinițializat și să facă modificări la funcția de compresie.

„Structura mesajului conține câmpuri cum ar fi cantitatea de octeți de scriere și flag-uri, urmată de un buffer de lungime variabilă”, au spus cercetătorii. „Este perfect pentru exploatarea erorii, deoarece putem crea un mesaj astfel încât să specificăm antetul, dar bufferul cu lungime variabilă conține date neinițializate.”

„Un atacator care a exploatat cu succes vulnerabilitatea ar putea obține informații pentru a compromite în continuare sistemul utilizatorului. Pentru a exploata vulnerabilitatea împotriva unui server, un atacator neautentificat ar putea trimite un pachet special conceput către un server SMBv3 vizat”, a spus Microsoft în avizul său.

„Pentru a exploata vulnerabilitatea împotriva unui client, un atacator neautentificat ar trebui să configureze un server SMBv3 dăunător și să convingă un utilizator să se conecteze la acesta”, a adăugat Microsoft.

smbleed, windows smb protocol

Mai rău, SMBleed poate să se lege cu SMBGhost pe sistemele Windows 10 neatacate pentru a realiza executarea de la distanță a codului. De asemenea, firma a lansat o dovadă de concept a codului de exploatare care demonstrează vulnerabilitățile.

Patrick
Acum 15 ani îmi căutam locul în lumea profesionala. Am căutat să îmi aleg un domeniu care să-mi placă, să mă caracterizeze și am început să tatonez mai multe terenuri, printre care și geografia turistică. În scurt timp am renunțat la studiul geografiei turistice din motive personale și familiale pentru un job în IT, care începea să devină la modă pe atunci. Astfel că am început lucrul la o companie de furnizare servicii de internet care a început în cartierul în care locuiam și în câțiva ani s-a extins. Pe atunci aveam un PC cu procesor AMD low-end (chiar și pentru vremea aceea) cu care am început să învăț software: programare, design grafic (începusem pasiunea pentru Adobe Photoshop cu care astazi am avansat la post-procesare fotografii și pictură digitală, ilustrație etc.), dintre care și web design, domeniu în care am început, pe atunci, destul de timid și cu multe greșeli. În timp, mi-am construit un portfoliu de lucrări, am câștigat câțiva clienți, iar apoi, după câțiva ani mi-a crescut reputația odată cu avansarea în tehnologie, pentru ca recent să-mi înființez Studiourile Cydrone, o companie-studio de creație digitală. Am trecut de la HTML4, XHTML, la HTML5 si CSS3, apoi la CMS web developing. Nu am ratat nici domeniul bloggingului și mi-am pornit primul meu blog pe blogspot.com, apoi am trecut la domeniu propriu. Astăzi scriu pe diverse platforme, în primul rând pe cea personala, pe care am transformat-o într-o academie online (Cydrone Archetypal Academy) în care abordez teme avansate precum matematica de modelare (vă aduceți aminte că am început cu programarea? Nu degeaba…), geometrie sacră, fractali, modele numerologice de succes, stil de viață sănătos și conștient, afaceri de succes, antreprenoriat, dezvoltare personala, educație financiară, iar în al doilea rând am fondat Revista România Culturală, o platforma online în care promovez cultura română din toate timpurile (căreia îi sunt pe vecie recunoscător). Alte platforme pe care mai scriu sunt androidinfo.ro (știri și recenzii în tehnologie mobile și nu numai), infotimes.ro (știri generale), dar și pe medium.com, linkedin.com etc.
%d blogeri au apreciat: