Nul-dages Windows-fildelingsfejl kan ødelægge systemer, måske værre

Implementeringen af ​​SMB-netværksfildelingsprotokollen i Windows har en alvorlig sårbarhed, der kunne give hackere mulighed for i det mindste fjernstyrt.

Den usete sårbarhed blev offentliggjort torsdag af en uafhængig sikkerhedsforsker ved navn Laurent Gaffié, der hævder, at Microsoft har forsinket frigivelse af en opdatering for fejlen i de sidste tre måneder.

Gaffié, der er kendt på Twitter som PythonResponder, offentliggjorde en proof-of-concept udnyttelse af sårbarheden på GitHub og udløste en rådgivning fra CERT Coordination Center (CERT / CC) på Carnegie Mellon University.

"Microsoft Windows indeholder en hukommelseskorrupsfejl i håndteringen af ​​SMB-trafik, som kan tillade en ekstern, ikke-godkendt hacker at forårsage en benægtelse af tjeneste eller potentielt udføre vilkårlig kode på et sårbart system," sagde CERT / CC i den rådgivende.

Microsofts implementering af SMB-protokollen (Server Message Block) bruges af Windows-computere til at dele filer og printere over et netværk og håndterer også godkendelse til de delte ressourcer.

Sårbarheden påvirker Microsoft SMB version 3, den seneste version af protokollen. CERT / CC har bekræftet, at udnyttelsen kan bruges til at nedbrud fuldt programrettede versioner af Windows 10 og Windows 8.1.

En angriber kan udnytte sårbarheden ved at narre et Windows-system til at oprette forbindelse til en ondsindet SMB-server, som derefter vil sende specielt udformede svar. Der er en række teknikker til at tvinge sådanne SMB-forbindelser, og nogle kræver ringe eller ingen brugerinteraktion, advarede CERT / CC.

Den gode nyhed er, at der endnu ikke er nogen bekræftede rapporter om vellykket udførelse af vilkårlig kode gennem denne sårbarhed. Hvis dette imidlertid er et hukommelseskorruptionsproblem som beskrevet af CERT / CC, kan kodeudførelse muligvis være en mulighed.

"De nedbrud, vi hidtil har observeret, viser sig ikke på en måde, der antyder udførelse af ligefrem kode, men det kan dog ændre sig, da vi har tid til at analysere det mere dybtgående," sagde Carsten Eiram, chefforskningen officer hos sårbarhedsudstyrsfirmaet Risikobaseret sikkerhed, via e-mail. "Dette er kun den indledende fase af analysen."

Carstens firma bekræftede også nedbruddet på et fuldt opdateret Windows 10-system, men har endnu ikke fundet ud af, om dette kun er et NULL-pointer dereference-crash eller resultatet af et dybere problem, der kunne have en mere alvorlig indvirkning. Bare for at være på den sikre side følger virksomheden CERT / CC's ledere i behandlingen af ​​dette som en potentiel kodeudførelsesfejl. CERT / CC scorede denne sårbarheds indvirkning med 10, det maksimale i det fælles sårbarhedsscoringssystem (CVSS).

Gaffié sagde på Twitter, at Microsoft planlægger at løse dette problem i løbet af sin næste "patch tirsdag", som denne måned falder den 14. februar - den anden tirsdag i måneden. Det er dog muligt, at Microsoft kan bryde ud af sin almindelige patchcyklus, hvis sårbarheden faktisk er kritisk og begynder at blive udnyttet i naturen.

Microsoft svarede ikke straks på en anmodning om kommentar.

Både CERT / CC og Eiram rådgiver netværksadministratorer om at blokere udgående SMB-forbindelser - TCP-porte 139 og 445 sammen med UDP-porte 137 og 138 - fra lokale netværk til Internettet. Dette vil ikke fjerne truslen fuldstændigt, men isolere den til lokale netværk.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.