SMBleed: uma nova vulnerabilidade crítica afeta o protocolo SMB do Windows

Os pesquisadores de segurança cibernética descobriram uma nova vulnerabilidade crítica que afeta o protocolo Server Message Block (SMB) que pode permitir que invasores vazem a memória do kernel remotamente e, quando combinada com um bug “wormable” divulgado anteriormente, a falha pode ser explorada para obter ataques de execução remota de código .

Apelidado de ” SMBleed ” ( CVE-2020-1206 ) por ZecOps firmes segurança cibernética, que reside a falha na função de descompressão do SMB – a mesma função com SMBGhost ou EternalDarkness bug ( CVE-2020-0796 ), que veio à tona há três meses, potencialmente abertura de sistemas vulneráveis ​​do Windows a ataques de malware que podem se propagar pelas redes.

Ler mais:
Microsoft lança atualização urgente do Windows para corrigir duas falhas críticas
Você sabe quem é Kevin Mitnick?
Microsoft deverá explicar ao governo brasileiro falha que expôs dados de usuários
Free Software Foundation quer que Microsoft abra código do Windows 7
Malware 100% brasileiro surge usando a epidemia do Coronavírus como isca

A vulnerabilidade recém-descoberta afeta o Windows 10 versões 1903 e 1909, para o qual a Microsoft lançou patches de segurança hoje como parte de suas atualizações mensais do Patch Tuesday de junho .

O desenvolvimento ocorre quando a Agência de Segurança e Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um comunicado na semana passada, alertando os usuários do Windows 10 para atualizar suas máquinas após a publicação online do código de exploração do bug SMBGhost na semana passada.

O SMBGhost foi considerado tão sério que recebeu uma pontuação máxima de 10.

“Embora a Microsoft tenha divulgado e fornecido atualizações para essa vulnerabilidade em março de 2020, os ciber atores maliciosos estão mirando sistemas sem patch com o novo PoC , de acordo com relatórios recentes de código aberto”, afirmou a CISA .

O SMB, que é executado na porta TCP 445, é um protocolo de rede que fornece a base para compartilhamento de arquivos, navegação na rede, serviços de impressão e comunicação entre processos através de uma rede.

De acordo com os pesquisadores do ZecOps, a falha decorre da maneira como a função de descompressão em questão (” Srv2DecompressData “) lida com solicitações de mensagens especialmente criadas (por exemplo, SMB2 WRITE) enviado para um servidor SMBv3 de destino, permitindo que um invasor leia a memória do kernel não inicializada e faça modificações na função de compactação.

“A estrutura da mensagem contém campos como a quantidade de bytes a serem escritos e sinalizadores, seguidos por um buffer de tamanho variável”, disseram os pesquisadores. “É perfeito para explorar o bug, pois podemos criar uma mensagem para especificar o cabeçalho, mas o buffer de tamanho variável contém dados não inicializados”.

“Um invasor que explorar com êxito a vulnerabilidade poderá obter informações para comprometer ainda mais o sistema do usuário. Para explorar a vulnerabilidade em um servidor, um invasor não autenticado poderá enviar um pacote especialmente criado para um servidor SMBv3”, afirmou a Microsoft em seu comunicado.

“Para explorar a vulnerabilidade contra um cliente, um invasor não autenticado precisaria configurar um servidor SMBv3 mal-intencionado e convencer o usuário a se conectar a ele”.

Pior, o SMBleed pode ser encadeado com o SMBGhost em sistemas Windows 10 sem patch para obter a execução remota de código. A empresa também lançou um código de exploração de prova de conceito que demonstra as falhas .

Para atenuar a vulnerabilidade, é recomendável que os usuários domésticos e empresariais instalem as atualizações mais recentes do Windows o mais rápido possível.

Para sistemas em que o patch não é aplicável, é recomendável bloquear a porta 445 para impedir o movimento lateral e a exploração remota.

As orientações de segurança da Microsoft abordando SMBleed e SMBGhost no Windows 10 versão 1909 e 1903 e Server Core para as mesmas versões podem ser encontradas aqui e aqui .

Referência: https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram.

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2021!