Zero-day Windows file-sharing-fout kan systemen crashen, misschien erger

De implementatie van het SMB-protocol voor het delen van netwerkbestanden in Windows heeft een ernstige kwetsbaarheid waardoor hackers op zijn minst systemen op afstand kunnen laten crashen.

De niet-gepatchte kwetsbaarheid werd donderdag openbaar gemaakt door een onafhankelijke beveiligingsonderzoeker genaamd Laurent Gaffié, die beweert dat Microsoft de release van een patch voor de fout de afgelopen drie maanden heeft uitgesteld.

Gaffié, die op Twitter bekend staat als PythonResponder, publiceerde een proof-of-concept-exploit voor de kwetsbaarheid op GitHub, wat leidde tot een advies van het CERT Coordination Center (CERT / CC) aan de Carnegie Mellon University.

"Microsoft Windows bevat een bug met geheugenbeschadiging bij de afhandeling van SMB-verkeer, waardoor een externe, niet-geverifieerde aanvaller een denial of service kan veroorzaken of mogelijk willekeurige code kan uitvoeren op een kwetsbaar systeem", zei CERT / CC in het advies.

Microsoft's implementatie van het Server Message Block (SMB) -protocol wordt gebruikt door Windows-computers om bestanden en printers via een netwerk te delen en zorgt ook voor authenticatie naar die gedeelde bronnen.

Het beveiligingslek treft Microsoft SMB-versie 3, de meest recente versie van het protocol. CERT / CC heeft bevestigd dat de exploit kan worden gebruikt om volledig gepatchte versies van Windows 10 en Windows 8.1 te laten crashen.

Een aanvaller kan het beveiligingslek misbruiken door een Windows-systeem te misleiden om verbinding te maken met een kwaadaardige SMB-server, die vervolgens speciaal vervaardigde antwoorden stuurt. Er zijn een aantal technieken om dergelijke SMB-verbindingen te forceren en sommige vereisen weinig of geen gebruikersinteractie, waarschuwde CERT / CC.

Het goede nieuws is dat er nog geen bevestigde meldingen zijn van succesvolle uitvoering van willekeurige code door dit beveiligingslek. Als dit echter een probleem met geheugenbeschadiging is, zoals beschreven door CERT / CC, kan code-uitvoering een mogelijkheid zijn.

"De crashes die we tot nu toe hebben waargenomen, manifesteren zich niet op een manier die eenvoudige code-uitvoering suggereert, maar dat kan veranderen, aangezien we tijd hebben om het dieper te analyseren", aldus Carsten Eiram, het hoofdonderzoek. functionaris bij Risk Based Security, een onderneming voor kwetsbaarheidsinformatie, via e-mail. 'Dit is nog maar het begin van de analyse.'

Het bedrijf van Carsten bevestigde ook de crash op een volledig gepatcht Windows 10-systeem, maar moet nog vaststellen of dit slechts een NULL-aanwijzer-dereferentiecrash is of het gevolg is van een dieper probleem dat een grotere impact zou kunnen hebben. Voor de zekerheid volgt het bedrijf de leer van CERT / CC door dit te behandelen als een potentiële fout in de code-uitvoering. CERT / CC scoorde de impact van dit beveiligingslek met 10, het maximum in het Common Vulnerability Scoring System (CVSS).

Gaffié zei op Twitter dat Microsoft van plan is dit probleem op te lossen tijdens de volgende "Patch Tuesday", die deze maand valt op 14 februari - de tweede dinsdag van de maand. Het is echter mogelijk dat Microsoft de normale patchcyclus doorbreekt als de kwetsbaarheid inderdaad kritiek is en in het wild wordt uitgebuit.

Microsoft reageerde niet onmiddellijk op een verzoek om commentaar.

Zowel CERT / CC als Eiram adviseren netwerkbeheerders om uitgaande SMB-verbindingen - TCP-poorten 139 en 445 samen met UDP-poorten 137 en 138 - van lokale netwerken naar internet te blokkeren. Hiermee wordt de dreiging niet volledig geëlimineerd, maar wordt deze geïsoleerd op lokale netwerken.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.