Microsoft offre patch di emergenza per correggere l’errore di Windows 10

Seguici

Gli attaccanti hanno avuto un vantaggio quando i dettagli critici del difetto SMBv3 sono trapelati 2 giorni fa.

Microsoft ha rilasciato giovedì una correzione non pianificata per un bug di sicurezza critico che consente agli aggressori di eseguire in remoto codice dannoso che può diffondersi da una macchina vulnerabile a una macchina vulnerabile senza richiedere alcuna interazione da parte degli utenti.

Il difetto, nella versione 3 dell’implementazione Microsoft del protocollo Server Message Block , è presente solo nelle versioni di Windows 10 a 32 e 64 bit 1903 e 1909 per client e server. Sebbene la vulnerabilità sia difficile da sfruttare in modo affidabile, Microsoft e ricercatori esterni la considerano fondamentale perché apre grandi reti ad attacchi “wormable”, in cui il compromesso di una singola macchina può innescare una reazione a catena che provoca tutte le altre macchine Windows diventare rapidamente infetto. Questo è lo scenario che ha giocato con WannaCry e NotPetya nel 2017.

In un bollettino che accompagna la patch di giovedì , Microsoft ha dichiarato di non avere prove che il difetto venga attivamente sfruttato, ma la società ha continuato a etichettare il bug come “sfruttamento più probabile”. Tale designazione significa che gli attori malintenzionati probabilmente svilupperanno e useranno exploit in futuro.

Poco dopo che Microsoft ha rilasciato la correzione fuori banda, i ricercatori della società di sicurezza Sophos hanno pubblicato un’analisi che elaborava la vulnerabilità.

La vulnerabilità comporta un overflow e un underflow di numeri interi in uno dei driver del kernel. L’attaccante potrebbe creare un pacchetto dannoso per attivare il underflow e avere una lettura arbitraria all’interno del kernel, oppure attivare l’overflow e sovrascrivere un puntatore all’interno del kernel. Il puntatore viene quindi utilizzato come destinazione [a] per scrivere dati. Pertanto, è possibile ottenere una primitiva write-what-where nello spazio degli indirizzi del kernel.

I dettagli, tradotti in modo approssimativo, indicano che gli aggressori con un exploit ben scritto potrebbero essere in grado di leggere password di testo semplice o altri dati sensibili dei dati e potrebbero anche ottenere una shell dei comandi che può essere utilizzata per assumere il controllo del computer vulnerabile. EternalBlue — un precedente exploit SMB sviluppato da e successivamente rubato dalla National Security Agency — ha anche ottenuto una capacità di lettura / scrittura per sostituire una funzione inbound in una funzione SMB inbound con una funzione dannosa. Ciò ha consentito all’attaccante di eseguire codice dannoso la volta successiva che un computer vulnerabile chiamato funzione SMB.

Molteplici modi di sfruttare

Lo scritto di Sophos afferma che gli hacker malintenzionati potrebbero utilizzare l’exploit in almeno tre scenari:

Scenario 1: l’attaccante prende di mira una macchina che condivide file. Se un utente o un amministratore ha modificato le impostazioni predefinite per aprire la porta 445 o disabilitato il firewall di Windows o se la macchina appartiene a un dominio Windows, la macchina è aperta a una forma remota di attacco che consente agli aggressori di assumere il controllo.

“Inutile dire che qualsiasi sistema senza patch con la porta SMB vulnerabile aperta al pubblico Internet potrebbe diventare un obiettivo di opportunità per un focolaio simile a WannaCry”, hanno scritto i membri del team di sicurezza offensiva di SophosLabs nel post del blog di giovedì. “Il fattore attenuante è che richiede un utente malintenzionato con un exploit all’avanguardia che potrebbe bypassare tutta la mitigazione della sicurezza che Microsoft ha incorporato in Windows 10 e che la destinazione ha la porta 445 / tcp aperta per le connessioni in entrata.”

Scenario 2: un utente malintenzionato inganna un utente affinché si connetta a un server dannoso. Gli aggressori potrebbero utilizzare messaggi di spam che contengono collegamenti che, quando vengono cliccati, fanno sì che il computer vulnerabile si unisca alla rete dannosa dell’attaccante. Con ciò, l’attaccante avrebbe il pieno controllo della macchina. Una variante: l’attaccante che ha già un accesso limitato a una rete falsifica un dispositivo attendibile all’interno dell’organizzazione. Le macchine che usano SMBv3 per connettersi a quella macchina falsificata vengono quindi compromesse.

Quando le due varianti vengono combinate, questo tipo di attacco potrebbe essere utile per ottenere l’accesso iniziale a una rete mirata e quindi ruotare su macchine più privilegiate o sensibili. Uno svantaggio dal punto di vista dell’attaccante è che questi tipi di exploit richiedono l’ingegneria sociale di un utente mirato.

Scenario 3: un utente malintenzionato che ottiene un accesso limitato a un computer vulnerabile con altri mezzi, sfrutta il difetto SMBv3 per eseguire codice dannoso che ha gli stessi diritti di sistema dell’utente target. Da lì, gli attaccanti potrebbero essere in grado di elevare ulteriormente i privilegi a quelli del SISTEMA. Sophos ha dimostrato questo terzo scenario di attacco nel seguente video:

I ricercatori di Sophos e di altri Paesi hanno sottolineato che le solide difese di sicurezza che Microsoft ha aggiunto a Windows 10 rendono estremamente difficile lo sviluppo di exploit affidabili. È probabile che queste difese causino l’arresto anomalo di molte macchine mirate e in tal modo avvisano gli utenti o gli amministratori che è in corso un tentativo di attacco.

Queste mitigazioni non significano che è probabile che la vulnerabilità SMBv3 non venga sfruttata maliziosamente. La capacità di decodificare la patch di giovedì, combinata con le conseguenze molto alte derivanti dallo sfruttamento riuscito del difetto, probabilmente spingerà gli attaccanti altamente qualificati a sviluppare attacchi.

Chiunque utilizzi un computer Windows 10, in particolare quelli che condividono stampanti, file o risorse su qualsiasi tipo di rete, dovrebbe installare la patch non appena possibile. Per coloro che non sono in grado di installare subito le patch, le mitigazioni meno efficaci sono (1) disabilitare la compressione SMB e (2) bloccare la porta 445 su Internet esterno (quest’ultimo passaggio è qualcosa che gli esperti di sicurezza hanno da sempre considerato vitale). Un’altra possibile mitigazione è bloccare la porta 445 all’interno di una rete locale, ma Sophos ha avvertito che la misura ha un costo.

Admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Solve : *
14 + 8 =