Luka w SMB pozwala zdalnie zawiesić Windowsa. Microsoft zaleca więc korzystanie z Windowsa 10 i Edge
Trzy miesiące nie wystarczyły Microsoftowi na naprawienie luki wimplementacji protokołu sieciowego SMB, wykorzystywanej w systemachWindows 8.1, Windows 10, Windows Server 2012 (R2) i Windows Server2016 – więc jej niezadowolony odkrywca, Laurent Gaffie,opublikował na GitHubie działającego exploita. Luka jest bardzonieprzyjemna, pozwala bowiem niezalogowanemu użytkownikowi zawiesićzdalnie komputer przez atak typu DoS.
06.02.2017 13:39
Problem dotyczy błędów w obsłudze ruchu sieciowego po SMBprzez Windowsa. Jeśli uda się nakłonić ofiarę do połączenia zuzłośliwionym serwerem SMB, który prześle jej w odpowiedziodpowiednio spreparowany, zawierający zbyt dużo bajtów nagłówekstruktury SMB2 TREE_RECONNECT, podatny na atak windowsowy klient możezaliczyć niebieski (lub zielony) ekran śmierci, wywołany przezkomponent mrxsmb20.sys – wyjaśnia CERT w swoim ostrzeżeniuprzed atakami.
Badacze z CERT-u ostrzegają, że jest wiele sposobówpozwalających na nakłonienie klienta Windows do podłączenia siędo zasobów SMB, a niektóre z nich nie wymagają nawet interakcji zestrony użytkownika.
Co na to Microsoft? Ano nic takiego. Atak zbagatelizowano, wydającnieco surrealistycznie brzmiące oświadczenie:
Jak się (naprawdę) zabezpieczyć?
Opowieści o najlepszej ochronie nie zmieniają jednak realiów –atak, oceniony przez CERT na 7,8 pkt w skali dziesięciopunktowej, wogóle nie ma nic wspólnego z Microsoft Edge, a Windows 10 niezapewnia żadnej przeciwko niemu ochrony, o czym może przekonać siękażdy, wykorzystując gotowegoexploita w Pythonie. Dlatego eksperci CERT-u, zamiast korzystaćz Edge, radzą zablokować wychodzący ruch na zaporze sieciowej zsieci LAN do WAN, na portach TCP 139 i 445 oraz UDP 137 i 138. Więcejinformacji na temat blokowania SMB znajdziecie na stronachMicrosoftu.
Uwaga – wbrew początkowym doniesieniom, ten atak nie umożliwiazdalnego wykonania kodu. Wciąż jednak jest groźny, będąc wstanie zakłócić pracę kluczowej infrastruktury.