Publikus, új sebezhetőség a Windows SMB protokolljában

A Common Vulnerability Scoring System 7.8 pontja alapján a Microsoftnak lépnie kell. Eddig nem javították a hibát, pedig legalább három hónapja tudnak róla.

Nyilvánosságra hozott egy zero-day sebezhetőséget az a biztonsági szakember, aki több mint három hónapja értesítette a Microsoft csapatát felfedezéséről, ám a vállalat mindeddig nem javította a hibát. A foltozásra váró probléma megtalálható többek között a Windows 10, 8.1 és a Server kiadásokban is.

Hirdetés

A memóriakezelési hiba az SMB (server message block) implementációban található, és a hálózati fájlmegosztáson keresztül okozhat kékhalált, ha egy hacker távolról úgy dönt, bedönti a rendszert. Az US-CERT írása alapján a sebezhetőséget kihasználó nem csak rendszerösszeomlást, hanem távoli kód futtatását is megoldhatja, ráadásul kernelszinten férhet hozzá a sérülékeny rendszerekhez.

A hiba önmagában kevés, kell hozzá az is, hogy a felhasználók fertőzött SMB szerverhez csatlakozzanak, tehát mindenképp interakcióra van szükség a támadó és az áldozat között. A rendelkezésre álló információk alapján egyértelmű, hogy a problémát az okozza, a Windows nem tudja lekezelni, ha a szerver túl sok információt tárol az SMB2 TREE_CONNECT struktúrában.

Ha felhasználóként az mrxsmb20.sys hibájából eredő kékhalállal találkozik valaki a fenti rendszerek valamelyikén, érdemes gyanakodni. Főleg így, hogy az exploit kódja nyilvános, a Microsoft pedig egyelőre nem adta ki a javítást.

Ha valaki szeretné elkerülni, hogy támadás áldozatává váljon, és nem várná meg, míg Redmondból megérkezik a segítség, az SMB kapcsolatok kimenő portjait letilthatja a rendszerén. Ezek a TCP 139 és 445, illetve az UDP 137 és 138-as kapuk.

Azóta történt

Előzmények