SMBleed – Windows Bug do protocolo SMB permite que hackers vazem memória do kernel e executem …

SMBleed

Os pesquisadores descobriram nomes críticos de bugs como “SMBleed” no protocolo de comunicação de rede do Microsoft Server Message Block (SMB).

Essa falha de segurança foi nomeada como SMBleed e identificada como CVE-2020-1206; essa vulnerabilidade poderia facilmente permitir que os invasores pingassem todos os dados confidenciais da memória do kernel remotamente.

Combinado esse tipo de vulnerabilidade com o bug anterior que pode ser solucionado, a falha pode ser facilmente utilizada para executar vários ataques de execução remota de código.

Mas, além disso, recentemente, uma disputa foi detectada na função de descompressão do SMB, é o SMBGhost (CVE-2020-0796), divulgado há três meses, e essa busca por vulnerabilidade pode abrir vulnerabilidades Windows sistemas a ataques de malware que podem executar sua operação em redes.

De acordo com o relatório da Zeccops, isso se deve ao fato de a função de descompactação “Srv2DecompressData” no protocolo SMB capaz de processar solicitações de mensagem especialmente criadas (por exemplo, SMB2 WRITE) enviadas ao servidor de destino SMBv3. Assim, um invasor pode facilmente ler dados na memória do kernel e fazer alterações na função de compactação.

SMBleed - Windows Bug do protocolo SMB permite que hackers vazem memória do kernel e executem ... 1

Essa vulnerabilidade afeta o Windows 10 versões de 1903 e 1909, e a Microsoft também publicou recentemente os patches de segurança.

Eles anunciaram na semana passada que estão forçando os usuários de Windows 10 para que eles possam atualizar seus dispositivos após explorar o código do bug SMBGhost que foi anunciado online recentemente.

Exploração Básica

Bem, toda essa vulnerabilidade lida com mensagens SMB, e essas mensagens incluem principalmente campos como o número de bytes a serem endereçados e sinalizadores e, portanto, são acompanhados por um buffer de tamanho variável. Ao criar isso, as mensagens se tornam bastante fáceis, portanto, é uma ferramenta perfeita para exposição.

Porém, existem algumas variáveis ​​que contêm dados não inicializados e, portanto, colocamos uma adição diferente à função de compactação baseada em nosso POC no repositório WindowsProtocolTestSuites da Microsoft.

Ao adicionar isso, não será suficiente, pois o POC precisa de credenciais diferentes e um compartilhamento gravável, facilmente acessíveis em muitas situações. Ainda assim, o bug se refere a todas as mensagens procuradas para que possam ser utilizadas remotamente para qualquer autenticação.

Mais importante, a memória que vazou geralmente está relacionada à alocação anterior no pool NonPagedPoolNx, pois podemos gerenciar o tamanho da alocação, o que implica que os dados vazados podem entrar em nosso controle até certo ponto.

SMBleed

Os especialistas em segurança cibernética recomendaram que os usuários domésticos e empresariais instalassem a versão mais recente Windows, pois essa vulnerabilidade é encontrada em Windows 10 versão 1909 e 1903, como dissemos anteriormente.

Mas há algumas situações em que o Patch não é aplicável; portanto, naquele momento, os usuários devem simplesmente bloquear a porta 445 para interromper qualquer movimento paralelo e exploração remota em seu sistema vulnerável.

TL; DR

  • Inicialmente, enquanto observavam o SMBGhost, os especialistas em segurança descobriram outra vulnerabilidade que é o SMBleed.
  • Esta vulnerabilidade se concentra em revelar a memória do Kernel remotamente.
  • O SMBleed permite a produção de RCE (Execução Remota de Código) antes da autenticação, se ele for combinado com o SMBGhost.
  • Existem dois links principais, POC #1: Leitura da memória remota do kernel do SMBleed e o POC #2: RCE de pré-autenticação combinando SMBleed com SMBGhost.

Afetados Windows versões

Aqui está o Windows versões afetadas por essa falha de segurança com as atualizações aplicáveis ​​instaladas: –

Windows 10 Versão 2004

Atualizar SMBGhost SMBleed
KB4557957 Não vulnerável Não vulnerável
Antes KB4557957 Não vulnerável Vulnerável

Windows 10 Versão 1909

Atualizar SMBGhost SMBleed
KB4560960 Não vulnerável Não vulnerável
KB4551762 Não vulnerável Vulnerável
Antes KB4551762 Vulnerável Vulnerável

Windows 10 Versão 1903

Atualizar Erro nulo de desreferência SMBGhost SMBleed
KB4560960 Fixo Não vulnerável Não vulnerável
KB4551762 Fixo Não vulnerável Vulnerável
KB4512941 Fixo Vulnerável Vulnerável
Nenhuma das acima Não consertado Vulnerável Potencialmente vulnerável

Mitigação

  • Atualize seu Windows para a versão mais recente, pois isso resolverá o problema completamente.
  • Bloqueie a porta 445 para parar qualquer movimento paralelo.
  • Isole o host.
  • Desativar o SMB 3.1.1 compactação, mas observe que os especialistas em segurança não a recomendam.

Além de tudo isso, se um invasor não autorizado quiser explorar essa vulnerabilidade, o invasor precisará configurar um servidor SMBv3 mal-intencionado e convencer o usuário a se conectar a ele.

Os especialistas em segurança já relataram suas descobertas à Microsoft e a empresa já lançou os patches para corrigir essa vulnerabilidade.

Você pode nos seguir no Linkedin, Twitter, Facebook para atualizações diárias sobre segurança cibernética e hackers.