Nolldagars Windows fildelningsfel kan krascha system, kanske värre

Implementeringen av SMB-nätverksfildelningsprotokollet i Windows har en allvarlig sårbarhet som kan göra det möjligt för hackare att åtminstone fjärrkrascha system.

Den oöverträffade sårbarheten offentliggjordes torsdag av en oberoende säkerhetsforskare vid namn Laurent Gaffié, som hävdar att Microsoft har försenat att ha släppt en korrigeringsfil för bristen under de senaste tre månaderna.

Gaffié, som är känd på Twitter som PythonResponder, publicerade en proof-of-concept exploit för sårbarheten på GitHub, och utlöste en rådgivande från CERT Coordination Center (CERT / CC) vid Carnegie Mellon University.

"Microsoft Windows innehåller ett fel i minneskorruption i hanteringen av SMB-trafik, vilket kan tillåta en avlägsen, oautentiserad angripare att orsaka ett förnekande av tjänst eller potentiellt köra godtycklig kod på ett sårbart system," sade CERT / CC i den rådgivande.

Microsofts implementering av SMB-protokollet (Server Message Block) används av Windows-datorer för att dela filer och skrivare över ett nätverk och hanterar också autentisering till de delade resurserna.

Sårbarheten påverkar Microsoft SMB version 3, den senaste versionen av protokollet. CERT / CC har bekräftat att utnyttjandet kan användas för att krascha fullständigt korrigerade versioner av Windows 10 och Windows 8.1.

En angripare kan utnyttja sårbarheten genom att lura ett Windows-system för att ansluta till en skadlig SMB-server som sedan skickar speciellt utformade svar. Det finns ett antal tekniker för att tvinga sådana SMB-anslutningar och vissa kräver liten eller ingen användarinteraktion, varnade CERT / CC.

Den goda nyheten är att det ännu inte finns några bekräftade rapporter om framgångsrik körning av godtycklig kod genom denna sårbarhet. Men om detta är ett minneskorruptionsproblem som beskrivs av CERT / CC, kan körakodning vara en möjlighet.

"Krascherna som vi hittills har observerat visar sig inte på ett sätt som föreslår rak kodutförande, men det kan ändras, eftersom vi har tid att analysera det mer djupgående", säger Carsten Eiram, chefsforskningen officer på säkerhetsföretagets riskbaserade säkerhet, via e-post. "Detta är bara det första steget i analysen."

Carstens företag bekräftade också kraschen på ett fullständigt korrigerat Windows 10-system, men har ännu inte fastställt om detta bara är en NULL-pekare dereference-krasch eller resultatet av en djupare fråga som kan ha en allvarligare inverkan. Bara för att vara på den säkra sidan följer företaget CERT / CC: s medlemmar i att behandla detta som en potentiell kodöverföringsfel. CERT / CC bedömde denna sårbarhets påverkan med 10, maximalt i Common Vulnerability Scoring System (CVSS).

Gaffié sa på Twitter att Microsoft planerar att korrigera denna fråga under sin nästa "Patch Tuesday", som den här månaden kommer att falla den 14 februari - den andra tisdagen i månaden. Det är dock möjligt att Microsoft kan bryta ut från sin vanliga patchcykel om sårbarheten verkligen är kritisk och börjar utnyttjas i naturen.

Microsoft svarade inte omedelbart på en begäran om kommentar.

Både CERT / CC och Eiram råder nätverksadministratörer att blockera utgående SMB-anslutningar - TCP-portar 139 och 445 tillsammans med UDP-portar 137 och 138 - från lokala nätverk till Internet. Detta eliminerar inte hotet helt, utan isolerar det till lokala nätverk.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.