SMB Zero-Day влияет на Windows 8, 10 и Server
Группа готовности США к компьютерным чрезвычайным ситуациям (US-CERT) опубликовано вчера заметка об уязвимости о новой уязвимости нулевого дня, затрагивающей Microsoft Windows 8, 10 и Server Edition.
Он гласит:
Microsoft Windows содержит ошибку повреждения памяти при обработке трафика SMB, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать отказ в обслуживании или потенциально выполнить произвольный код в уязвимой системе.
Злоумышленники могут вызвать атаку отказа в обслуживании против уязвимых версий Windows, заставив устройства Windows подключаться к вредоносному общему ресурсу SMB. US-CERT отмечает, что существует вероятность того, что уязвимость может быть использована для выполнения произвольного кода с привилегиями ядра Windows.
Атакованные системы могут отображать синий экран при успешных атаках.
Описание уязвимости предлагает дополнительную информацию:
Microsoft Windows не может должным образом обрабатывать трафик с вредоносного сервера. В частности, Windows не может правильно обработать ответ сервера, который содержит слишком много байтов, следующих за структурой, определенной в структуре ответа SMB2 TREE_CONNECT. При подключении к вредоносному SMB-серверу уязвимая клиентская система Windows может дать сбой (BSOD) в mrxsmb20.sys. На данный момент неясно, можно ли использовать эту уязвимость помимо атаки типа «отказ в обслуживании». Мы подтвердили сбой с полностью исправленными клиентскими системами Windows 10 и Windows 8.1.
US-CERT подтвердила наличие уязвимости в полностью исправленных клиентских системах Windows 8.1 и Windows 10. Пищевой компьютер отмечает, что исследователь безопасности PythonResponder утверждал, что он также влияет на Windows Server 2012 и 2016.
Хотя официального подтверждения этого пока нет, вполне вероятно, что серверные продукты также подвержены этой уязвимости.
Серьезность и предлагаемые обходные пути
US-CERT классифицирует уязвимость с наивысшим рейтингом серьезности 10, используя Систему оценки общих уязвимостей (CVSS). Факторы, которые играют роль в определении серьезности уязвимости, включают возможность удаленного использования уязвимости и то, сколько опыта требуется злоумышленникам для успешного использования уязвимости.
Microsoft не имеет еще не выпустила рекомендации по безопасности, но, вероятно, это только вопрос времени, когда компания опубликует рекомендации по безопасности, чтобы проинформировать клиентов об уязвимости и вариантах устранения.
US-CERT рекомендует блокировать исходящие SMB-соединения на TCP-портах 139 и 445 и UDP-портах 137 и 138 из локальной сети в WAN. для защиты устройств Windows.
Домашние пользовательские сети могут быть подвержены этой уязвимости, но глобальные сети не так широко используются в домашних условиях.
Чтобы узнать, есть ли в вашей версии Windows какие-либо SMB-подключения, выполните следующие действия:
- Нажмите на клавишу Windows, введите Powershell, удерживая клавиши Ctrl и Shift, нажмите клавишу Enter.
- Подтвердите появившееся приглашение UAC.
- Выполните команду Get-SmbConnection.
Мы обновим статью, как только Microsoft опубликует рекомендации по безопасности для уязвимости. (через Родился Город)
