;

Zero-day zranitelnost ve Windows může shazovat systémy

6. 2. 2017
Doba čtení: 2 minuty

Sdílet

 Autor: © alphaspirit - Fotolia.com
Implementace síťového protokolu pro sdílení souborů SMB ve Windows má vážnou zranitelnost, která by hackerům mohla potenciálně umožnit vzdáleně shazovat systémy. A možná i něco horšího.

Prozatím nezáplatovaná zranitelnost byla zveřejněna minulý týden ve čtvrtek nezávislým bezpečnostním expertem jménem Laurent Gaffié, který tvrdí, že Microsoft odkládal vydání záplaty pro tuto chybu poslední tři měsíce.

Gaffié, známý na Twitteru jako PythonResponder, publikoval na síti GitHub důkazní zneužití zranitelnosti, na což zareagovalo koordinační centrum CERT na Carnegie Mellon University, které vydalo veřejné varování.

„Microsoft Windows obsahuje chybu poškození paměti při zpracování SMB provozu, což může umožnit vzdálenému, neověřenému útočníkovi, spuštění DoS útoku nebo potenciální spuštění libovolného kódu na zranitelném systému,“ napsal CERT

Implementaci protokolu Server Message Block (SMB) Microsoftem využívají počítače s Windows pro sdílení souborů a tiskáren v síti a tento protokol je dále využíván pro řízení ověřování pro tyto sdílené zdroje.

Tato zranitelnost ovlivňuje Microsoft SMB verze 3, nejnovější verzi protokolu. CERT/CC potvrdil, že chyba může být využita pro shazování verzí Windows 10 a Windows 8.1 s úplnými patchi, tedy záplatami.

Potenciální útočník může zranitelnost zneužít obelstěním systému Windows, aby se připojil ke škodlivému SMB serveru, který by pak odesílal speciálně vytvořené odezvy. Pro vynucení takových SMB připojení existuje několik technik, z nichž některé vyžadují malou nebo žádnou uživatelskou interakci, varoval CERT/CC.

Dobrou zprávou je, že zatím nebyly potvrzeny žádné zprávy o svévolném spuštění kódu s využitím této zranitelnosti.

Gaffié na Twitteru řekl, že Microsoft má v plánu zranitelnost zalepit následující úterý pravidelné kampaně „Patch Tuesday,“ které tentokrát spadá na 14. února – druhé úterý v měsíci. Je ovšem možné, že Microsoft tento pravidelný cyklus tentokrát poruší, pokud zranitelnost vyhodnotí jako kritickou nebo ji někdo začne zneužívat v reálu.

Microsoft celou situaci prozatím nekomentoval.

ICTS24

CERT/CC radí síťovým administrátorům, aby zablokovali SMB připojení směrem ven – TCP porty 139 a 445 a UDP porty 137 a 138 – z místních sítí na internet. Tohle sice riziko úplně neanuluje, ale izoluje to místní sítě.

Zdroj: CIO.com