Badacze odkryli nową krytyczną lukę wpływającą na protokół Server Message Block (SMB). Może to pozwolić atakującym na dostęp do pamięci jądra, a w połączeniu z wcześniej ujawnionym błędem – zdalne wykonanie kodu.
Błąd, nazwany SMBleed (CVE-2020-1206), znajduje się w funkcji dekompresyjnej SMB – podobnie jak w przypadku SMBGhost czy EternalDarkness. Dla przypomnienia – SMBGhost został uznany za tak poważny, że otrzymał maksymalną ocenę 10 punktów w skali SVS.
SMBleed – które systemy są podatne
Luka SMBleed dotyczy systemów Windows 10 w wersjach 1903 i 1909, dla których Microsoft wydał łatki w zeszłym tygodniu.
Wada SMBleed wynika ze sposobu, w jaki funkcja dekompresyjna („Srv2DecompressData”) obsługuje specjalnie spreparowane żądania wiadomości (np. SMB2 WRITE) wysyłane do serwera docelowego SMBv3. Umożliwia atakującemu odczyt niezainicjowanych danych pamięci jądra i modyfikację funkcji kompresji.
„Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać informacje w celu dalszego naruszenia bezpieczeństwa systemu użytkownika. Aby wykorzystać błąd, nieuwierzytelniony atakujący musiałby skonfigurować złośliwy serwer SMBv3 i przekonać użytkownika, aby się z nim połączył” – pisze Microsoft w swoim poradniku.
Co gorsze, SMBleed może być połączony z SMBGhost w niezaktualizowanych systemach Windows 10 i umożliwić zdalne wykonanie kodu.
Aby zminimalizować lukę użytkownicy domowi i biznesowi powinni jak najszybciej zainstalować najnowsze aktualizacje Windowsa. W systemach, w których łatka nie ma zastosowania, zaleca się zablokowanie portu 445, aby zapobiec ruchowi bocznemu i zdalnej eksploatacji.
