SMBGhost, pubblicato su GitHub il codice per sfruttare una vulnerabilità wormable di Windows

Si tratta di una vulnerabilità simile a quella che ha permesso di realizzare WannaCry e NotPetya, ma la patch è disponibile già dallo scorso marzo
di Andrea Bai pubblicata il 08 Giugno 2020, alle 17:21 nel canale SicurezzaWindows
Lo scorso lunedi l'utente Chompie 1337 ha pubblicato su GitHub un esempio di codice capace di sfruttare una vulnerabilità di Windows che, qualora non sia già stata corretta tramite l'applicazione di una patch disponibile già dal mese di marzo, cova il potenziale di diffondersi da sistema a sistema senza che sia necessaria l'interazione dell'utente. Ne avevamo già parlato allora, in questa notizia: Microsoft si fa scappare i dettagli di una vulnerabilità in SMB ancora senza patch
La vulnerabilità, contrassegnata dal codice CVE-2020-0796, è di tipo cosiddetto "wormable" e rientra pertanto tra le vulnerabilità più gravi che si possano trovare su un sistema: lo sfruttamento di queste falle, infatti, può dar vita ad un vero e proprio effetto domino il cui esito è quello di diffondere facilmente l'infezione ad un numero di sistemi via via maggiore, scalando velocemente gli ordini di grandezza: due tra i più gravi episodi di problemi di sicurezza del passato recente, WannaCry e NotPetya, hanno sfruttato proprio una vulnerabilità wormable riuscendo a causare danni, nel complesso, per svariate decine miliardi di dollari.
SMBGhost, la patch esiste da marzo
SMBGhost, questo il nome dato alla vulnerabilità, riguarda l'implementazione in Windows del servizio Server Message Block, utilizzato dai sistemi operativi per la condivisione di risorse su reti locali e su Internet. Come accaduto nel caso di WannaCry e NotPetya, la falla può essere sfruttata da remoto inviando pacchetti opportunamente creati ad una porta SMB connessa ad Internet. La vulnerabilità risulta presente nelle versioni 1903 e 1909 di Windows 10 e Windows Server, ovviamente se non "patchate".
Questo, almeno, in linea teorica. Nel pratico invece pare che non sia così semplice sfruttare la vulnerabilità da remoto: il bug sembra essere stato sfruttato solo localmente - il che implica quindi che per ora è risultato sfruttabile solo dopo aver già ottenuto un qualche livello di accesso ad una rete. Anche il codice pubblicato su GitHub non sembra particolarmente stabile e porta spesso ad un blocco del sistema con il famigerato Blue Screen Of Death. Esso rappresenta tuttavia una sorta di punto di partenza da cui, con ottimizzazioni e miglioramenti, è possibile trarre un modo per compromettere da remoto le macchine vulnerabili e avviare una campagna di infezione.
Dicevamo che la vulnerabilità è già stata risolta con l'emissione di una patch nel mese di marzo. Tuttavia è bene osservare - come già messo in luce nel caso di WannaCry e NotPetya - che spesso trascorre parecchio tempo tra la disponibilità di una patch e la sua installazione. Talvolta si tratta solamente di mancanza di solerzia e attenzione, ma in molti casi l'applicazione di una patch richiede momenti di downtime che non possono essere affrontati in maniera estemporaniea o, in situazioni più delicate, un aggiornamento potrebbe andare ad ostacolare funzioni chiave all'interno di una rete aziendale. L'installazione degli aggiornamenti in maniera tempestiva resta quindi la strada primaria per proteggersi da questi problemi, ma in questo caso specifico una misura che permette di aggirare il problema (ma ovviamente non risolve la vulnerabilità) è quella di disabilitare la compressione SMB e bloccare la porta 445.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".