Badacze odkryli nową krytyczną lukę wpływającą na protokół Server Message Block (SMB). Może to pozwolić atakującym na dostęp do pamięci jądra, a w połączeniu z wcześniej ujawnionym błędem – zdalne wykonanie kodu.

Błąd, nazwany SMBleed (CVE-2020-1206), znajduje się w funkcji dekompresyjnej SMB – podobnie jak w przypadku SMBGhost czy EternalDarkness. Dla przypomnienia – SMBGhost został uznany za tak poważny, że otrzymał maksymalną ocenę 10 punktów w skali SVS.

SMBleed – które systemy są podatne

Luka SMBleed dotyczy systemów Windows 10 w wersjach 1903 i 1909, dla których Microsoft wydał łatki w zeszłym tygodniu.

SMBleed dotyczy systemów Windows 10 w wersjach 1903 i 1909, które otrzymały update w ostatnich dniach.
Źródło: The Hacker News

Wada SMBleed wynika ze sposobu, w jaki funkcja dekompresyjna („Srv2DecompressData”) obsługuje specjalnie spreparowane żądania wiadomości (np. SMB2 WRITE) wysyłane do serwera docelowego SMBv3. Umożliwia atakującemu odczyt niezainicjowanych danych pamięci jądra i modyfikację funkcji kompresji.

„Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać informacje w celu dalszego naruszenia bezpieczeństwa systemu użytkownika. Aby wykorzystać błąd, nieuwierzytelniony atakujący musiałby skonfigurować złośliwy serwer SMBv3 i przekonać użytkownika, aby się z nim połączył” – pisze Microsoft w swoim poradniku.

Co gorsze, SMBleed może być połączony z SMBGhost w niezaktualizowanych systemach Windows 10 i umożliwić zdalne wykonanie kodu.

Aby zminimalizować lukę  użytkownicy domowi i biznesowi powinni jak najszybciej zainstalować najnowsze aktualizacje Windowsa. W systemach, w których łatka nie ma zastosowania, zaleca się zablokowanie portu 445, aby zapobiec ruchowi bocznemu  i zdalnej eksploatacji.

Źródło