Vulnerabilità “SMBleed” su Sistemi Windows
06/10/2020
Proto: N040620.
Con la presente Yoroi desidera informarla relativamente al recente scoperta di una ulteriore grave vulnerabilità all’interno dei sistemi operativi Microsoft Windows moderni. La criticità è nota con l'alias "SMBleed" e referenziata con l'identificativo CVE-2020-1206.
A causa di lacune nella gestione dei messaggi SMBv3 compressi all’interno dei servizi di sistema, un attaccante di rete privo di autenticazione può essere in grado di recuperare porzioni della memoria di sistema attraverso l’invio di appositi messaggi SMBv3, ottenendo accesso a dati, chiavi di cifratura, configurazioni ed altre informazioni utili ad ulteriori intrusioni di rete non autorizzate. Tale condizione può configurare scenari di rischio non trascurabili:
- In primo luogo, uno scenario simile a Heartbleed nel 2014, dove era possibile esfiltrati dati sensibili da canali di comunicazione cifrati basati su versioni OpenSSL vulnerabili (rischio data/information leak).
- Esiste anche uno scenario più grave, qualora infatti la vulnerabilità “SMBleed” venisse utilizzata insieme a “SMBGhost”, della quale sono recentemente stati rilasciati i codici di attacco (rif. EW N030620), si andrebbe a delineare uno scenario di rischio dove le macchine bersaglio possono essere completamente compromesse da attaccanti di rete privi di alcuna autenticazione, ad esempio a seguito di intrusioni di rete o attacchi malware.
Microsoft ha confermato la problematica emanando un apposito bollettino di sicurezza e rilasciando aggiornamenti di sicurezza per i sistemi:
- Microsoft Windows 10, versione 1903
- Microsoft Windows 10, versione 1909
- Microsoft Windows 10, versione 2004
- Windows Server, versione 1903
- Windows Server, versione 1909
- Windows Server, versione 2004
Considerata la disponibilità di dettagli tecnici riguardo alla combinazione delle vulnerabilità “SMBleed” e “SMBGhost”, il rilascio di strumenti di test e la forte diffusione di sistemi potenzialmente vulnerabili, Yoroi consiglia caldamente di applicare le patch di sicurezza a disposizione ed in alternativa valutare la disabilitazione della compressione nel protocollo SMBv3 attraverso l’applicazione della seguente configurazione:
| Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force |
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
