Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Zraniteľnosť SMBleed protokolu Windows Server Message Block (SMBv3)

30.06.2020
Spoločnosť ZecOps odhalila novú kritickú bezpečnostnú zraniteľnosť v dekompresnej funkcii SMBv3.1.1, v ktorej boli nedávno objavené aj zraniteľnosti SMBGhost a EternalDarkness. Zraniteľnosť dovoľuje únik citlivých dát, ktoré môžu byť ďalej zneužité na vzdialené vykonávanie kódu a kompromitáciu zraniteľného systému.

 

Dôsledky

  • Únik dát zneužiteľných na ďalší útok
  • Vzdialené vykonávanie kódu
  • Kompromitácia zraniteľného systému

Opis činnosti
CVE-2020-1206

Spoločnosť ZecOps informovala o kritickej zraniteľnosti v kompresnej funkcii protokolu SMBv3. Nová zraniteľnosť s názvom SMBleed sa nachádza vo verziách Windows 10 verzie 1903, 1909 a 2004, pre ktoré už spoločnosť Microsoft vydala opravu ako súčasť júnovej aktualizácie.

Chyba sa nachádza v spôsobe, akým dekompresná funkcia Srv2DecompressData v ovládači srv2.sys spracováva požiadavky zaslané na cieľový server SMBv3. Tým umožňuje útočníkovi čítať neinicializovanú pamäť jadra a robiť zmeny kompresnej funkcie.

Štruktúra správy poslanej cez protokol SMBv3 obsahuje polia ako počet bajtov ktoré sa majú zapísať, príznaky a vyrovnávacia pamäť s premenlivou dĺžkou. Práve pamäť s premenlivou dĺžkou obsahuje neinicializované údaje, ktoré môže útočník zneužiť.

Úspešným vykonaním útoku by sa útočník mohol dostať k dátam zneužiteľným na kompromitáciu systému. Pokiaľ by išlo o útok útočníka neovereného voči serveru, mohol by zraniteľnosť zneužiť odoslaním špeciálne vytvoreného paketu na cieľový server SMBv3.

Pokiaľ by útok prebiehal voči klientovi, musel by neoverený útočník nakonfigurovať vlastný server SMBv3 a presvedčiť používateľa, aby sa k nemu pripojil.

Zraniteľné systémy
Protokol SMBv3.1.1 v OS Windows 10 verzia 1903, 1909 a 2004

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácii Vzdialené vykonávanie kódu

Odporúčania

Bezodkladná aktualizácia zraniteľných verzií systému Windows 10 na najnovšie verzie.

  • Win10 ver. 1903 – KB4560960
  • Win10 ver. 1909 – KB4560960
  • Win10 ver. 2004 – KB4557957

Pokiaľ nie je možné operačný systém aktualizovať, riešením môže byť aj zakázanie kompresie SMBv3.1.1, alebo komunikácie na porte 445.

Odkazy
https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
https://nvd.nist.gov/vuln/detail/CVE-2020-1206
https://blog.vulcan.io/fixing-the-smbleed-vulnerability-cve-2020-1206



<< zoznam oznámení