Implementace protokolu sdílení síťových souborů SMB ve Windows má vážnou chybu zabezpečení, která by mohla hackerům umožnit přinejmenším vzdáleně havarovat systémy.
Neodebranou zranitelnost zveřejnil ve čtvrtek nezávislý výzkumný pracovník zabývající se bezpečností jménem Laurent Gaffié, který tvrdí, že Microsoft odložil uvolnění opravy chyb za poslední tři měsíce..
Gaffié, který je na Twitteru známý jako PythonResponder, zveřejnil exploit konceptu zneužití pro zranitelnost na GitHubu a spustil radu z Koordinačního centra CERT (CERT / CC) na Carnegie Mellon University.
"Microsoft Windows obsahuje chybu v poškození paměti při zpracování SMB provozu, která může umožnit vzdálenému neověřenému útočníkovi způsobit odmítnutí služby nebo potenciálně spustit libovolný kód na zranitelném systému," uvedl v doporučení CERT / CC.
Implementace protokolu SMB (Server Message Block) společností Microsoft používá počítačů se systémem Windows ke sdílení souborů a tiskáren v síti a také zpracovává ověřování těchto sdílených prostředků.
Tato chyba zabezpečení ovlivňuje Microsoft SMB verze 3, nejnovější verzi protokolu. CERT / CC potvrdilo, že exploit lze použít k selhání plně opravených verzí Windows 10 a Windows 8.1.
Útočník může tuto chybu zabezpečení zneužít trikováním systému Windows s připojením k škodlivému serveru SMB, který by poté odeslal speciálně vytvořené odpovědi. Existuje řada technik, jak vynutit taková připojení SMB a některé vyžadují malou nebo žádnou interakci uživatele, varoval CERT / CC.
Dobrou zprávou je, že dosud neexistují žádné potvrzené zprávy o úspěšném spuštění libovolného kódu prostřednictvím této chyby zabezpečení. Pokud se však jedná o problém s poškozením paměti, jak je popsáno v CERT / CC, může být možnost provedení kódu.
"Havárie, které jsme dosud pozorovali, se neprojevují způsobem, který by naznačoval přímé provádění kódu, ale to se může změnit, protože máme čas to hlouběji analyzovat," řekl Carsten Eiram, hlavní výzkum důstojník ve zpravodajské firmě pro zabezpečení zranitelností pomocí zabezpečení prostřednictvím e-mailu. "Toto je pouze počáteční fáze analýzy."
Společnost Carsten také potvrdila havárii na plně opraveném systému Windows 10, ale ještě musí zjistit, zda se jedná pouze o havárii demontáže ukazatele NULL nebo o důsledek hlubšího problému, který by mohl mít závažnější dopad. Jen proto, aby byla na bezpečné straně, společnost sleduje CERT / CC ledu v zacházení s tímto jako potenciální chyba spuštění kódu. CERT / CC zaznamenal dopad této chyby zabezpečení na 10, maximum v systému společného hodnocení zranitelnosti (CVSS).
Gaffié na Twitteru řekl, že společnost Microsoft plánuje tuto záležitost napravit během příštího „Patch Tuesday“, které tento měsíc připadne na 14. února - druhé úterý v měsíci. Je však možné, že Microsoft by se mohl vymanit ze svého pravidelného cyklu oprav, pokud je zranitelnost skutečně kritická a začne být zneužívána ve volné přírodě.
Microsoft neodpověděl okamžitě na žádost o komentář.
CERT / CC i Eiram radí správcům sítě, aby blokovali odchozí spojení SMB - TCP porty 139 a 445 spolu s porty UDP 137 a 138 - z lokálních sítí na internet. Tím se hrozba zcela neodstraní, ale izoluje se do lokálních sítí.
Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.
