L’Internet Storm Center (SANS) ha lanciato un’allerta: una conosciuta società operante nel campo della sicurezza avrebbe rilasciato uno strumento che può essere sfruttato per far leva su una vulnerabilità scoperta nell’implementazione del protocollo SMBv2 in Windows Vista ed in Windows Server 2008. Rispetto al codice “Proof of Concept” (Poc), divenuto di pubblico dominio nei giorni scorsi, il nuovo exploit permetterebbe ad un aggressore di acquisire pieno accesso alla macchina vulnerabile e non quindi di mandarla solamente in crash o di riavviarla (ved. questa precedente notizia). Se l’exploit si rivelasse sufficientemente “stabile”, potrebbe essere facilmente impiegato – avvisa l’Internet Storm Center – da parte di malintenzionati con lo scopo di sviluppare un worm in grado di agire su vasta scala.
Il consiglio è quindi quello di applicare immediatamente le soluzioni temporanee suggerite anche da Microsoft: configurare un firewall a livello di singolo host che blocchi l’accesso alle porte 139 e 445 o disabilitare completamente (almeno sintanto che non sarà rilasciata una patch, al momento ancora indisponibile) SMBv2. L’intervento implica una modifica sul registro di Windows ed ha implicazioni negative dal punto di vista prestazionale: si tratta comunque, come sottolinea l’Internet Storm Center, di uno scotto che è ragionevole pagare sino a quando non sarà disponibile un aggiornamento di sicurezza ufficiale. Per procedere in tal senso, è necessario portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINESystemCurrentControlSetServices
, cliccare su LanmanServer, su Parameters, aggiungere un nuovo valore DWORD nel pannello di destra, inserire smb2
nel campo “Nome” ed impostare il valore a 0
.
Dal prompt dei comandi si dovrà quindi digitare net stop server
quindi net start server
.
La modifica potrà essere successivamente annullata, al momento della disponibilità di una patch risolutiva, modificando il valore smb2
a 1
. Dopo l’intervento si dovrà ricorrere nuovamente ai comandi net stop server
e net start server
.
Le versioni di Windows affette dal problema, lo ricordiamo, sono Vista e Server 2008. La Release Candidate (RC1) di Windows 7 è altresì vulnerabile mentre non lo è la versione definitiva (RTM).
Per maggiori informazioni è possibile fare riferimento all’advisory di Microsoft.