Confermata la vulnerabilità nel protocollo SMBv2

Microsoft ha appena confermato la vulnerabilità, presente in Windows Vista ed in Windows Server 2008 della quale abbiamo dato notizia ieri (ved. questa pagina). Nel suo “advisory”, Microsoft esclude la possibilità di attacco verso sistemi Windows 2000, XP e Windows Server 2003 semplicemente perché non fanno uso del componente vulnerabile (ossia la seconda versione del protocollo SMB). Non solo, secondo Microsoft sarebbe immune al problema di sicurezza anche la versione finale di Windows 7.

Se per il momento la falla presente nell’implementazione del protocollo SMB 2.0 può essere utilizzata per mandare in crash (o riavviare) un sistema da remoto, Microsoft fa presente che il codice “Proof of Concept” (PoC), attualmente in circolazione in Rete, potrebbe essere modificato per eseguire codice nocivo sulle macchine Vista e Server 2008 vulnerabili.

Come già sottolineato, chi utilizza politiche firewall efficaci non è a rischio di attacchi provenienti dalla Rete. Anche coloro che usano un semplice router, nella configurazione di default, può ritenersi meno esposto alle aggressioni in arrivo da malintenzionati remoti.
Inoltre, se in Windows Vista il profilo per la connessione alla Rete è impostato come “pubblico”, il sistema risulterà immune perché Windows provvederà automaticamente a bloccare i pacchetti di dati in ingresso.
I sistemi non direttamente aggredibili da remoto sono da ritenersi comunque vulnerabili ad attacchi provenienti dalla LAN.

Sintanto che non verrà rilasciata una patch ufficiale (è possibile che venga resa disponibile in anticipo rispetto al prossimo “patch day”, previsto per martedì 13 ottobre), Microsoft suggerisce di bloccare, a livello firewall, il traffico in arrivo sulle porte TCP 139 e TCP 445 oppure disattivare il protocollo SMB 2.0 attraverso un intervento sul registro di sistema. Per procedere in tal senso, è necessario portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINESystemCurrentControlSetServices, cliccare su LanmanServer, su Parameters, aggiungere un nuovo valore DWORD nel pannello di destra, inserire smb2 nel campo “Nome” ed impostare il valore a 0.
Dal prompt dei comandi si dovrà quindi digitare net stop server quindi net start server.
La modifica potrà essere successivamente annullata, al momento della disponibilità di una patch risolutiva, modificando il valore smb2 a 1. Dopo l’intervento si dovrà ricorrere nuovamente ai comandi net stop server e net start server.

Per maggiori informazioni è possibile fare riferimento all’advisory di Microsoft.