Falla wormable in SMBv3: Microsoft rilascia l'aggiornamento correttivo

• Business
• Patch management

Vi ricordate di WannaCry, il malware che a maggio 2017 infettò – in pochi giorni – centinaia di migliaia di sistemi in tutto il mondo cifrando file personali, documenti riservati e chiedendo un riscatto in denaro?
Il worm-ransomware in questione riusciva a diffondersi sfruttando una vulnerabilità insita in SMBv1 e nonostante quella ed altre falle siano state ormai da tempo corrette, viste le debolezze intrinseche del protocollo, Microsoft ricorda agli utenti di Exchange di disattivare SMBv1.

WannaCry ha utilizzato una lacuna di SMBv1 sfruttando un exploit che si ritiene sia stato sottratto a suo tempo alla NSA, l’organismo del Dipartimento della difesa USA che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale.

Il copione potrebbe però ripetersi perché Microsoft ha appena confermato l’esistenza di una vulnerabilità wormable in SMBv3, protocollo che è stato introdotto nel sistema operativo con Windows Server 2012 ma che è utilizzato in Windows 7, Windows 8.x, Windows 10 oltre che in tutte le successive versioni di Windows Server.

Nel bollettino pubblicato da Microsoft l’azienda di Redmond spiega che un utente malintenzionato e non autenticato può eseguire codice dannoso (acquisendo i privilegi SYSTEM) su qualunque sistema che espone cartelle e risorse condivise mediante SMBv3. L’attacco è effettuabile da un sistema client verso un server SMBv3 inviando richieste “confezionate ad arte”.

In un aggiornamento pubblicato più di recente, Microsoft ha precisato che il problema riguarda solamente SMBv3.1.1 e non le precedenti versioni (SMBv3). Gli unici sistemi operativi affetti dal problema sono quindi Windows 10 versioni 1903 e 1909 e Windows Server versioni 1903 e 1909.

Fortunatamente Microsoft ha appena rilasciato la patch correttiva inserendola nell’aggiornamento cumulativo KB4551762 per le versioni di Windows interessate dalla problematica, nel frattempo battezzata SMBGhost.

I tecnici dell’azienda di Satya Nadella avevano spiegato che intanto si poteva eseguire il seguente comando PowerShell per impedire l’eventuale sfruttamento della vulnerabilità:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Per annullare l’intervento, è possibile usare il comando seguente:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Fondamentale è controllare che la porta TCP 445 dei vari sistemi non sia esposta sulla rete: in questo modo nessun malintenzionato potrà utilizzarla per eseguire codice remoto dall’esterno della rete aziendale. A questo proposito, suggeriamo la lettura dei seguenti articoli:

– Aprire porte sul router e chiuderle quando non più necessario
– Port scanner: scansione di tutte le porte sull’IP pubblico
– Router, le operazioni da fare per renderlo sicuro
– Porte aperte: come scoprire quali sono

Con il rilascio della patch ufficiale, integrata nell’aggiornamento cumulativo di marzo 2020 KB4551762, (documentata a questo indirizzo e scaricabile da qui oltre che mediante Windows Update), la falla insita nell’implementazione del protocollo SMBv3.1.1 può essere definitivamente corretta.

Gli esperti di Kryptos Logic hanno spiegato che accertare la vulnerabilità di un sistema Windows è semplicissimo e confermano di aver realizzato il primo exploit PoC che provoca un attacco Denial of Service: nella fattispecie l’improvvisa visualizzazione di una schermata blu (BSOD) e il conseguente riavvio della macchina.

Sempre Kryptos Logic fa presente di aver già individuato circa 48.000 macchine Windows vulnerabili al problema di SMBv3.1.1, esposte sull’IP pubblico e quindi facilmente raggiungibili dalla rete Internet.

We’ve just finished our first internet wide scan for CVE-2020-0796 and have identified 48000 vulnerable hosts. We’ll be loading this data into Telltale for CERTs and organisations to action. We’re also working on a blog post with more details (after patch).

— Kryptos Logic (@kryptoslogic) March 12, 2020

“Si sprecano” su GitHub gli scanner che aiutano a verificare se un sistema connesso alla rete (o gruppi di essi) fossero vulnerabili e quindi potenzialmente aggredibili.
Tra gli scanner per la vulnerabilità SMBGhost c’è anche quello realizzato dal ricercatore danese ollypwn. Realizzato in Python, può essere comodamente lanciato anche servendosi del sottosistema Linux WSL di Windows 10.

A conferma che trattasi di una vulnerabilità di sicurezza particolarmente grave, Microsoft ha assegnato un punteggio CVSS (Common Vulnerability Scoring System) pari 10, il massimo.