Minden, jelenleg támogatott Windows érintett abban a hibában, melyről részletesebben nemrég számolt be a US CERT. A memóriahiba kiaknázásával távolról lefagyaszthatóvá válnak az érintett operációs rendszereket futtató számítógépek.
Blue Screen of Death
A Windows nem képes megfelelően kezelni egy speciális feltétleknek megfelelően létrehozott, túl sok adatot tartalmazó szerverválaszt. Az SMB2 TREE_CONNECT Response struktúrában leírtakat be nem tartó adatsor ártó szándékkal történő felhasználásával az mrxsmb20.sys-re hivatkozással lefagyás idézhető elő a célpont Windows klienseken, amennyiben azok rosszindulatú SMB szerverhez kapcsolódnak.
A Kék Halállal (képünk illusztráció) járó sérülékenység először maximális pontszámot kapott a hiba veszélyességét jelző tízes skálán, de az alaposabb kivizsgálás után végül 7,8 pontos lett. Kihasználásához ugyanis szükség van arra, hogy a távoli támadó rávegye a célpontot egy, a feltételeknek megfelelően konfigurált SMB szerverhez való kapcsolódásra.
Ez ugyanakkor nem különösebben nehéz feladat; azt kell csupán elérni az áldozatnál, hogy rákattintson egy ártó szándékkal létrehozott linkre – amit akár e-mailben is el lehet küldeni a célpont számára. Amint Outlookban rákattint erre vagy megnyit egy, a linket láthatatlanul (például kép formájában) beágyazottan tartalmazó website-ot a fenyegetésről mit sem sejtő felhasználó, megjelenik a jól ismert kék halál a monitoron.
Fél éve ismert
A hiányosságot felfedező Laurent Gaffié elárulta a The Registernek, hogy az esetet a Microsofttal közösen megvitatva arra a megállapításra jutottak, a sérülékenység felhasználható távolról indított szolgáltatásmegtagadásra irányuló támadásra. Gaffié szerint a hibával rendszerújraindítás kényszeríthető ki helyileg, Netbios vagy LLMNR poisoning révén, vagy távolról egy UNC link segítségével.
Fontos megjegyezni, hogy ezt a triviális sebezhetőséget rögtön meg kellett volna fognia a Microsoft Security Development Lifecycle (SDLC) eljárásának, meglepő módon azonban nem így történt. Az IT-biztonsági szakember szerint ez azt jelenti, hogy a kód nem – vagy nem megfelelően - volt auditálva azelőtt, hogy az megjelent volna a frissebb operációs rendszerekben.
Gaffié állítása szerint még tavaly szeptember 25-én vette fel a kapcsolatot a Microsofttal. Utóbbi decemberi patch ciklusára el is készítette a javítást, de aztán februárra halasztotta kiadását. Indoklása szerint azért, mert ekkor egyszerre számos SMB update-et ad ki, és így cikkünk tárgyául szolgáló hibát is egy kalap alá veheti velük.
Gaffié ezen a hozzáálláson felháborodva döntött úgy, hogy egy héttel a frissítés megjelenése előtt közzé teszi a sebezhetőségről szóló leírást. Ez már a sokadik alkalom, hogy minden szükséges adat birtokában a Microsoft „ráül” az információra, és ahelyett, hogy minél hamarabb kiadná a javítást, különböző indokokra hivatkozva késlelteti azt, adott hangot sértettségének a kutató.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak