Błąd w udostępnianiu plików przez zero dni w systemie Windows może spowodować awarię systemów, a nawet gorzej

Implementacja protokołu sieciowego udostępniania plików SMB w systemie Windows ma poważną lukę, która może pozwolić hakerom przynajmniej na zdalne zawieszanie systemów.

Niezałatana luka została publicznie ujawniona w czwartek przez niezależnego badacza bezpieczeństwa Laurenta Gaffié, który twierdzi, że Microsoft opóźnił wydanie poprawki dla błędu przez ostatnie trzy miesiące.

Gaffié, znany na Twitterze jako PythonResponder, opublikował exploit typu proof-of-concept dotyczący luki w GitHub, uruchamiając poradę od CERT Coordination Center (CERT / CC) na Carnegie Mellon University.

„Microsoft Windows zawiera błąd uszkodzenia pamięci w obsłudze ruchu SMB, który może pozwolić zdalnemu, nieuwierzytelnionemu atakującemu na spowodowanie odmowy usługi lub potencjalnie wykonanie dowolnego kodu w systemie podatnym na zagrożenia”, powiedział CERT / CC w poradniku.

Implementacja protokołu SMB (Server Message Block) firmy Microsoft jest używana przez komputery z systemem Windows do udostępniania plików i drukarek przez sieć, a także obsługuje uwierzytelnianie tych zasobów udostępnionych.

Luka dotyczy Microsoft SMB wersja 3, najnowszej wersji protokołu. CERT / CC potwierdziło, że exploit może zostać wykorzystany do awarii w pełni poprawionych wersji systemu Windows 10 i Windows 8.1.

Osoba atakująca może wykorzystać tę lukę, oszukując system Windows, aby połączyć się ze złośliwym serwerem SMB, który następnie wyśle ​​specjalnie spreparowane odpowiedzi. CERT / CC ostrzega, że ​​istnieje wiele technik wymuszania takich połączeń SMB, a niektóre wymagają niewielkiej lub żadnej interakcji użytkownika.

Dobrą wiadomością jest to, że nie ma jeszcze potwierdzonych raportów na temat wykonania dowolnego kodu przez tę lukę. Jeśli jednak jest to problem z uszkodzeniem pamięci, jak opisano w CERT / CC, wykonanie kodu może być możliwe.

„Obserwowane przez nas awarie nie ujawniają się w sposób sugerujący proste wykonanie kodu, ale może się to zmienić, ponieważ mamy czas na głębszą analizę”, powiedział Carsten Eiram, główny specjalista ds. Badań oficer wywiadu podatnego na zagrożenia, Security Based Security, za pośrednictwem poczty elektronicznej. „To tylko wstępny etap analizy”.

Firma Carsten potwierdziła również awarię w pełni poprawionego systemu Windows 10, ale musi jeszcze ustalić, czy jest to awaria dereferencji wskaźnika NULL, czy wynik głębszego problemu, który może mieć poważniejszy wpływ. Aby być bezpiecznym, firma podąża za wytycznymi CERT / CC, traktując to jako potencjalną wadę wykonania kodu. CERT / CC ocenił wpływ tej podatności na 10, maksimum we wspólnym systemie punktacji podatności (CVSS).

Gaffié powiedział na Twitterze, że Microsoft planuje załatać ten problem podczas następnego „Patch Tuesday”, który w tym miesiącu przypada na 14 lutego - drugi wtorek miesiąca. Jednak możliwe jest, że Microsoft może przerwać regularny cykl łatek, jeśli luka jest rzeczywiście krytyczna i zaczyna być wykorzystywana na wolności.

Microsoft nie odpowiedział natychmiast na prośbę o komentarz.

Zarówno CERT / CC, jak i Eiram doradzają administratorom sieci, aby blokowali wychodzące połączenia SMB - porty TCP 139 i 445 wraz z portami UDP 137 i 138 - z sieci lokalnych do Internetu. Nie wyeliminuje to całkowicie zagrożenia, ale odizoluje je od sieci lokalnych.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.