Codici di Attacco per “SMBGhost”

Proto: N030620.

Con la presente Yoroi desidera informarla relativamente al recente rilascio di codici e strumentazioni atte allo sfruttamento di una grave vulnerabilità presente nei sistemi Microsoft Windows moderni. La criticità è nota con l’alias “SMBGhost” e con l’identificativo CVE-2020-0796.

La problematica è originata dalla fallace gestione della memoria durante il processamento di messaggi SMBv3 compressi all'interno del sistema operativo, attraverso la quale un attaccante di rete privo di autenticazione può eseguire codice arbitrario sulla macchina bersaglio a seguito dell'invio di messaggi SMB ad hoc, circostanza che può creare scenari di minaccia similari a quelli di EternalBlue, nota vulnerabilità su protocollo SMBv1 che ha abilitato attacchi ransomware su larga scala (EW N060517). 

Microsoft ha precedentemente rilasciato un opportuno bollettino di sicurezza comprensivo di patch e aggiornamenti per i sistemi Windows 10 versione 1903 e 1909, Windows Server versione 1903 e 1909, i quali risultano afflitti dalla criticità.

Considerata la pervasività dei servizi SMB ed il recente rilascio di prototipi di codici di attacco utili alla realizzazione di sistemi automatici in grado di sfruttare la criticità, Yoroi consiglia di appurare lo stato di aggiornamento dei sistemi Windows 10 e Windows Server all’interno del vostro parco macchine Microsoft e, qualora non fosse possibile applicare le patch di sicurezza, di valutare la disabilitazione della compressione all’interno dei protocolli SMBv3 con il seguente comando:    

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index