Un difetto di condivisione file di Windows zero-day può causare l'arresto anomalo dei sistemi, forse peggio

L'implementazione del protocollo di condivisione dei file di rete SMB in Windows presenta una grave vulnerabilità che potrebbe consentire agli hacker di, almeno, arrestare in remoto i sistemi.

La vulnerabilità senza patch è stata divulgata pubblicamente giovedì da un ricercatore di sicurezza indipendente di nome Laurent Gaffié, che afferma che Microsoft ha ritardato il rilascio di una patch per il difetto negli ultimi tre mesi.

Gaffié, noto su Twitter come PythonResponder, ha pubblicato un exploit di prova di concetto per la vulnerabilità su GitHub, attivando un advisory del CERT Coordination Center (CERT / CC) presso la Carnegie Mellon University.

"Microsoft Windows contiene un bug di corruzione della memoria nella gestione del traffico SMB, che può consentire a un utente malintenzionato remoto e non autenticato di causare un diniego di servizio o potenzialmente eseguire codice arbitrario su un sistema vulnerabile", ha dichiarato CERT / CC nell'advisory.

L'implementazione di Microsoft del protocollo Server Message Block (SMB) viene utilizzata dai computer Windows per condividere file e stampanti su una rete e gestisce anche l'autenticazione per tali risorse condivise.

La vulnerabilità riguarda Microsoft SMB versione 3, la versione più recente del protocollo. CERT / CC ha confermato che l'exploit può essere utilizzato per arrestare in modo anomalo le versioni con patch complete di Windows 10 e Windows 8.1.

Un utente malintenzionato può sfruttare la vulnerabilità ingannando un sistema Windows per connettersi a un server SMB dannoso che invierebbe quindi risposte appositamente predisposte. Esistono diverse tecniche per forzare tali connessioni SMB e alcune richiedono un'interazione minima o nulla da parte dell'utente, ha avvertito CERT / CC.

La buona notizia è che non ci sono ancora segnalazioni confermate di riuscita esecuzione di codice arbitrario attraverso questa vulnerabilità. Tuttavia, se si tratta di un problema di danneggiamento della memoria come descritto da CERT / CC, l'esecuzione del codice potrebbe essere una possibilità.

"Gli arresti che abbiamo osservato finora non si manifestano in modo da suggerire un'esecuzione diretta del codice, ma ciò potrebbe cambiare, tuttavia, poiché avremo il tempo di analizzarlo in modo più approfondito", ha affermato Carsten Eiram, capo della ricerca funzionario della società di intelligence sulla vulnerabilità Risk Based Security, via e-mail. "Questa è solo la fase iniziale dell'analisi."

La compagnia di Carsten ha anche confermato l'incidente su un sistema Windows 10 completamente patchato, ma deve ancora stabilire se si tratta solo di un arresto anomalo della dereferenza del puntatore NULL o del risultato di un problema più profondo che potrebbe avere un impatto più grave. Giusto per essere al sicuro, l'azienda sta seguendo la scia di CERT / CC nel considerare questo come un potenziale difetto di esecuzione del codice. CERT / CC ha segnato l'impatto di questa vulnerabilità con 10, il massimo nel Common Vulnerability Scoring System (CVSS).

Gaffié ha dichiarato su Twitter che Microsoft prevede di correggere questo problema durante il prossimo "Patch Tuesday", che questo mese cadrà il 14 febbraio, il secondo martedì del mese. Tuttavia, è possibile che Microsoft possa uscire dal suo normale ciclo di patch se la vulnerabilità è davvero critica e inizia a essere sfruttata in natura.

Microsoft non ha risposto immediatamente a una richiesta di commento.

Sia CERT / CC che Eiram consigliano agli amministratori di rete di bloccare le connessioni SMB in uscita - le porte TCP 139 e 445 insieme alle porte UDP 137 e 138 - dalle reti locali a Internet. Ciò non eliminerà completamente la minaccia, ma la isolerà nelle reti locali.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.