Vulnerabilità SMB v3.1.1: il codice può essere eseguito da remoto

La vulnerabilità scoperta in SMB v3.1.1, versione del protocollo Microsoft usata per la condivisione di file, cartelle, stampanti e altre risorse in Windows 10 e Windows Server versioni 1903 e 1909 torna di grande attualità.
Fino ad oggi gli attacchi dimostrati avevano una valenza pratica piuttosto contenuta (vedere Vulnerabilità in SMBv3.1.1: dimostrata la possibilità di eseguire codice dannoso) ma in questi giorni una ricercatrice indipendente, conosciuta in rete con il nickname di chompie, è riuscita a mette a segno il primo attacco di tipo RCE (remote code execution).

Il codice proof-of-concept (PoC) pubblicato su GitHub dalla ricercatrice viene da lei stessa definito suscettibile di migliorie e ancora non sufficientemente affidabile. “È stato scritto velocemente e necessita di ulteriore lavoro“. In alcuni casi, ad esempio, il codice può causare un crash del sistema e portare alla comparsa di schermate blu (BSOD).
Ciononostante, diversi esperti hanno immediatamente apprezzato gli sforzi compiuti da chompie descrivendo il PoC appena pubblicato come il primo exploit sfruttabile da remoto davvero funzionante.

La falla che viene presa di mira è quella conosciuta con l’identificativo CVE-2020-0796 e con gli appellativi SMBGhost, CoronaBlue, NexternalBlue e BluesDay: essa è stata risolta da Microsoft con la distribuzione dell’aggiornamento KB4551762 di marzo 2020: Falla wormable in SMBv3: Microsoft rilascia l’aggiornamento correttivo.
La sua installazione è stata più volte caldeggiata perché in mancanza dell’aggiornamento il sistema in uso resa vulnerabile ad attacchi simili a WannaCry e NotPetya che impazzarono nel 2017 e che in quel caso sfruttavano una falla in SMBv1: Microsoft ricorda agli utenti di Exchange di disattivare SMBv1.

Come si vede nel video diffuso dalla ricercatrice, l’attacco avviene in locale ma nulla vieta di prendere di mira sistemi che si affacciano sulla rete Internet con un IP pubblico.
Usando il codice exploit scritto in Python, specificando l’IP da aggredire, in caso di aggressione conclusasi con successo, si acquisiranno subito i privilegi SYSTEM e si assumerà completo controllo sul sistema Windows altrui.

Per proteggersi, la soluzione consiste nell’applicazione dell’aggiornamento KB4551762 o comunque nella protezione del sistema tramite firewall/NAT (così da evitare di esporre pubblicamente la porta TCP 445). È disponibile anche un workaround a livello di registro di sistema per disattivare la compressione SMB (vedere Falla wormable in SMBv3: Microsoft rilascia l’aggiornamento correttivo).