È stata individuata una nuova vulnerabilità SMB in Windows 10 e Server, una falla che ha la potenzialità di scatenare attacchi autoreplicanti, sulla falsariga di quanto visto con i worm WannaCry e NotPetya che hanno causato non pochi disagi ad aziende di tutto il mondo.
La vulnerabilità in questione è presente nella versione 3.1.1 del Server Message Block (SMB), il protocollo usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete. Un attacker è potenzialmente in grado di sfruttare la falla per eseguire codice sia lato-server, sia lato-utente.
Microsoft riferisce in un poco dettagliato documento di riferimento che il problema è catalogato nel database delle vulnerabilità come CVE-2020-0796, riguarda le versioni 1903 e 1909 di Windows 10 e le versioni 1903 e 1909 di Windows Server. Le release in questione sono relativamente nuove e su queste, riferisce ArsTechnica, Microsoft ha investito enormi risorse per contrastare esattamente questo tipo di attacchi.
Non sono al momento disponibili patch e il documento di Microsoft non indica una tempistica per il rilascio di eventuali fix. Alla richiesta di informazioni in merito, la multinazionale di Redmond ha risposto che non ha altre indicazioni se non quelle riportate nel documento prima citato.
Nel frattempo è possibile proteggere i server vulnerabili disabilitando alcune funzionalità di compressione per bloccare attacker non autenticati, usando il seguente comando per la PowerShell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Il comando in questione non protegge i client vulnerabili o i server, se questi sono connessi a un servizio “malevolo” SMB in Windows 10 e Server, ma protegge dalla diffusione del worm. Microsoft raccomanda inoltre agli utenti di bloccare la porta 445 che è sfruttata per inviare traffico SMB tra le macchine.
Nell’implementazione SMBv3 di Microsoft sono state introdotte una serie di misure per rendere questo protocollo più sicuro sui computer con Windows. La versione aggiornata del protocollo in questione è molto sfruttata in seguito ai problemi causati dai malware distruttivi come WannaCry e NotPetya, vulnerabiità che hanno colpito pesantemente anche infrastrutture critiche e reti industriali.
Tutti gli articoli di macitynet che parlano di Windows sono disponibili da questa pagina, invece per tutte le notizie che parlano di sicurezza sono disponibili da questa pagina.