Szerző: Bizó Dániel

2009. november 12. 18:16:00

SMB-exploit Windows 7 és Server 2008 R2 ellen

Újabb hibára derült fény, mely a Windows SMB révén romba döntheti a rendszert. A hiba most a Windows 7 és Server 2008 R2 implementációjában található, hogy akár a netről is indítható támadás. A Microsoft megerősítette a problémát.

Egy hacker a blogján tette közzé a sebezhetőséget, melynek meglétét támadó kóddal is tudja bizonytani. A kód működőképességét a H Security is letesztelte, és azt tapasztalta, hogy egy a Windows 7 gép azonnal lefagyott, amint meghívta a rosszindulatú szervert, és hardveres módon lehetett csak újraindítani.

A kárörvendő hangvételű blogbejegyzés alapján amennyiben a NetBIOS fejléc mérete 4 vagy több bájttal kisebb a beérkező SMD csomagnál, akkor az SMB kliens végtelen ciklusba kerül, és a gép válaszképtelenné válik. Ez nem csak helyi hálózaton keresztül érhető el, hanem az internetről is támadható egy gép, ha átjut a tűzfalon, amit lehetővé tehet, ha a támadó szervert meghívja a kliens, például böngészőn keresztül, és a tűzfal emiatt a kezdeményezés miatt átengedi a bejövő kapcsolódást. A támadás nem igényel azonosítást vagy emelt jogosultsági szintet.

Egyelőre nincs információ arról, hogy a támadást bárki használta volna már, vagy hogy módosítható-e úgy, hogy injektált kód végrehajtására vegye rá a célgépet, ugyanakkor egy Server 2008 R2 esetében a szolgáltatásmegtagadásos támadás esélye is kritikusnak mondható.

Feltétlenül javasolt a gépeken és az előttük lévő tűzfalakon letiltani az SMB által tipikusan használt 139-es és 445-ös portokat, vagy csak a megbízható hosztokra vagy IP-tartományra szűkítve engedni át - vagy amennyiben nincs a szolgáltatásra szükség, akár teljesen ki is lehet kapcsolni. Az SMB a fájl- és nyomtatómegosztásért felel Windows környezetben.

Ez a sebezhetőség két hónappal azt követően kerül felszínre, hogy az SMB v2 Vista és Server 2008 implementációjában szintén találtak kritikus hibát, mellyel kék halálba volt taszítható lényegében az összes ilyen gép, ha közvetlen hálózati hozzáféréshez jutott a támadó - egy tipikus LAN. Később ezt a rést kihasználva megszületett egy olyan exploit, mely már kódot is képes volt bejuttatni a gépbe, még ha nem is megbízhatóan, és lefuttatni azt. A Microsoft a következő, októberi patch kedden foltozta a rést. A decemberi patch kedd még közel egy hónap messzeségben van, így a mostani hibára legalább ekkora időtávon nincs patch, hacsak nem ad ki rendkívüli frissítést a Microsoft.

Az október 25-26-án rendezett eseményen közel ötven nemzetközi előadó is színpadra áll, 16 országból - a leggyorsabb jegyvásárlók pedig ESP32-alapú hacking badge-et is kapnak!

a címlapról