I ricercatori hanno scoperto bug critici come “SMBleed” nel protocollo di comunicazione di rete Microsoft Server Message Block (SMB).
n
Questo difetto di sicurezza è stato nominato come SMBleed e identificato come CVE-2020-1206; questa vulnerabilità potrebbe facilmente consentire agli aggressori di diffondere tutti i dati riservati dalla memoria del kernel da remoto.
n
n
Combinato questo tipo di vulnerabilità con il bug precedente che è un wormable, il difetto può essere facilmente utilizzato per eseguire diversi attacchi di esecuzione di codice in modalità remota.
n
Ma, a parte questo, recentemente, è stata rilevata una controversia nella funzione di decompressione della SMB, è SMBGhost (CVE-2020-0796 ), che è stata divulgata tre mesi fa, e questa ricerca di vulnerabilità può aprire i sistemi vulnerabili di Windows agli attacchi di malware che può eseguire le sue operazioni attraverso le reti.
n
Secondo il rapporto Zeccops, è dovuto al fatto che la funzione di decompressione “Srv2DecompressData” nel protocollo SMB è in grado di elaborare richieste di messaggi appositamente predisposte (ad esempio, SMB2 WRITE) inviate al server di destinazione SMBv3. Pertanto, un utente malintenzionato può leggere facilmente i dati nella memoria del kernel e apportare modifiche alla funzione di compressione.
n
n
Questa vulnerabilità riguarda le versioni di Windows 10 del 1903 e del 1909 e Microsoft ha recentemente pubblicato anche le patch di sicurezza.
n
Hanno annunciato proprio la scorsa settimana che stanno forzando gli utenti di Windows 10 in modo che possano aggiornare i loro dispositivi dopo aver sfruttato il codice per il bug SMBGhost che è stato pubblicizzato online di recente.
n
Sfruttamento di base
n
Bene, tutta questa vulnerabilità riguarda i messaggi SMB e questi messaggi includono principalmente campi come il numero di byte da indirizzare e contrassegnare, e quindi sono accompagnati da un buffer di lunghezza variabile. Creando questo, i messaggi diventano abbastanza facili, quindi questo è uno strumento perfetto per l’esposizione.
n
Ma ci sono alcune variabili che contengono dati non inizializzati e, pertanto, aggiungiamo una diversa caratteristica alla funzione di compressione basata sul nostro POC sul repository WindowsProtocolTestSuites di Microsoft.
n
Aggiungendo questo non sarà sufficiente, poiché POC ha bisogno di credenziali diverse e di una condivisione scrivibile, che sono facilmente accessibili in molte situazioni. Tuttavia, il bug si riferisce a ogni ricerca del messaggio in modo che possa essere utilizzato in remoto per qualsiasi autenticazione.
n
n
n
n
Ancora più importante, la memoria che è trapelata è generalmente correlata all’allocazione precedente nel pool NonPagedPoolNx, in quanto siamo in grado di gestire la dimensione di allocazione, il che implica che i dati trapelati potrebbero entrare in una certa misura nel nostro controllo.
n
Gli esperti di sicurezza informatica hanno raccomandato agli utenti domestici e aziendali di installare l’ultima versione di Windows, poiché questa vulnerabilità si trova in Windows 10 versione 1909 e 1903, come abbiamo detto in precedenza.
n
Ma ci sono alcune situazioni in cui la Patch non è applicabile, quindi in quel momento, gli utenti dovrebbero semplicemente bloccare la porta 445 per fermare qualsiasi movimento parallelo e sfruttamento remoto sul proprio sistema vulnerabile.
n
TL; DR
n
- n
- Inizialmente, osservando SMBGhost, gli esperti di sicurezza hanno scoperto l’ennesima vulnerabilità che è SMBleed.
- Questa vulnerabilità si concentra sulla rivelazione remota della memoria del kernel.
- SMBleed consente la produzione di Remote Code Execution (RCE) pre-autorizzazione se combinata con SMBGhost.
- Esistono due collegamenti principali, POC # 1: lettura della memoria del kernel remoto SMBleed e POC # 2: Pre-Auth RCE che combina SMBleed con SMBGhost.
n
n
n
n
n
Versioni di Windows interessate
n
Ecco le versioni di Windows interessate da questo difetto di sicurezza con gli aggiornamenti applicabili installati: –
n
Windows 10 Version 2004
n
| Aggiornare | SMBGhost | SMBleed |
| KB4557957 | Non vulnerabile | Non vulnerabile |
| Prima di KB4557957 | Non vulnerabile | Vulnerabile |
n
n
Windows 10 Version 1909
n
| Aggiornare | SMBGhost | SMBleed |
| KB4560960 | Non vulnerabile | Non vulnerabile |
| KB4551762 | Non vulnerabile | Vulnerabile |
| Prima di KB4551762 | Vulnerabile | Vulnerabile |
n
n
Windows 10 Version 1903
n
| Aggiornare | Bug null dereference | SMBGhost | SMBleed |
| KB4560960 | Fisso | Non vulnerabile | Non vulnerabile |
| KB4551762 | Fisso | Non vulnerabile | Vulnerabile |
| KB4512941 | Fisso | Vulnerabile | Vulnerabile |
| Nessuno dei precedenti | Non riparato | Vulnerabile | Potenzialmente vulnerabile |
n
n
Attenuazione
n
- n
- Aggiorna Windows alla versione più recente, in quanto ciò risolverà del tutto il problema.
- Bloccare la porta 445 per interrompere qualsiasi movimento parallelo.
- Isolare l’host.
- Disabilitare la compressione SMB 3.1.1, ma è necessario tenere presente che gli esperti di sicurezza non lo consigliano.
n
n
n
n
n
n
A parte tutto ciò, se un utente malintenzionato non autorizzato desidera sfruttare questa vulnerabilità, l’utente malintenzionato deve configurare un server SMBv3 dannoso e convincere l’utente a connettersi ad esso.