Уязвимость нулевого дня для SMB затрагивает несколько версий Windows, включая Windows 10

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,477
Реакции
8,855
Баллы
753
Уязвимость нулевого дня для протокола SMB затрагивает несколько версий Windows, включая Windows 10


BSOD вызванный уязвимостью (Источник: ISC SANS)

Подтверждение наличия уязвимости нулевого дня в SMB-протоколе (Server Message Block), который затрагивает несколько версий Windows, было опубликована сегодня, и многие сисадмины работали в поте лица, чтобы защитить уязвимые машины.

Уязвимость затрагивает несколько версий операционной системы Windows, таких как Windows 10, 8.1, Server 2012 и Server, 2016.

Компания United States Computer Emergency Readiness Team (US-CERT) опубликовала официальный отчет безопасности несколько часов назад.

Уязвимость вызывает BSOD, но может быть хуже

По мнению экспертов US-CERT, Zero-day приводит к атаке отказ в обслуживании, что потенциально может позволить злоумышленнику выполнить произвольный код с привилегиями ядра Windows, хотя данный сценарий и не был подтвержден официально.

Специалисты US-CERT описали проблему следующим образом:

Windows, не может правильно обрабатывать трафик от сервера злоумышленников. В частности, Windows не может правильно обработать ответ сервера, который содержит слишком много байтов в соответствии со структурой, определенной в SMB2 TREE_CONNECT. При подключении уязвимой клиентской системы к вредоносному серверу SMB, может произойти сбой (BSOD) в mrxsmb20.sys.
Тесты US-CERT подтвердили, что проблема затрагивает Windows 8.1 и Windows 10. Специалист по компьютерной безопасности Laurent Gaffié, известный как @PythonResponder, утверждает, что уязвимости подвержены также Windows Server 2012 и Windows Server 2016.

Уязвимость получает максимальный балл

По оценкам CVSS уязвимость получила 10 баллов из 10, эта оценка означает, что проблему легко использовать неквалифицированным злоумышленникам, в том числе и удаленно.

Хорошая новость заключается в том, что эксплуатация уязвимости зависит от социальной инженерии, так как требует от пользователей нажатия на ссылку и подключения к удаленному серверу SMB. Большинство атак могут быть устранены при надлежащей подготовке сотрудников. Корпоративные пользователи наиболее вероятно могут попасться в эту ловушку, поскольку они ежедневно используют общие ресурсы.

На настоящий момент исправления этой проблемы не существует, Microsoft выпустит патч в ближайший вторник обновлений 14 февраля. US-CERT рекомендует системным администраторам "блокировать исходящие соединения SMB (TCP порты 139 и 445 , а также UDP - порты 137 и 138) из локальной сети в сеть интернет", чтобы сделать невозможным подключения пользователей к интернет-серверам SMB. Это ограничивает ареал атаки серверами SMB, размещенных в той же сети, что является менее вероятным сценарием.

SMB - это древний сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.

Один из инженеров Microsoft в своем блоге призвал системных администраторов отключить SMBv1 и перейти к использованию SMBv2 или SMBv3 (предпочтительно). Однако атаке подвержена даже последняя версия протокола SMBv3.

SMB Zero-Day Affects Several Windows Versions, Including Windows 10
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,477
Реакции
8,855
Баллы
753
Опубликован эксплоит для уязвимости нулевого дня в Microsoft Windows


Проблема затрагивает Windows 10, 8.1, Server 2012 и Server 2016.

В протоколе SMBv3 (Server Message Block) обнаружена уязвимость нулевого дня, позволяющая вызвать отказ в обслуживании ОС Windows и потенциально выполнить произвольный код с привилегиями ядра. Проблема затрагивает ряд версий операционной системы, в том числе Windows 10, 8.1, Server 2012 и Server 2016. PoC-эксплоит для уязвимости опубликован на портале GitHub.

Проблема существует из-за некорректной обработки операционной системой Windows трафика с вредоносного SMB-сервера. В частности, Windows осуществляет некорректную обработку ответа сервера, содержащего слишком большое количество байт, следуя структуре, указанной в SMB2 TREE_CONNECT Response. Подключение уязвимого клиента Windows к вредоносному SMB-серверу приведет к ошибке в драйвере mrxsmb20.sys, сообщается в предупреждении специалистов US-CERT.

В настоящее время патч, исправляющий уязвимость, недоступен. В качестве временной меры для предотвращения эксплуатации проблемы эксперты рекомендуют блокировать исходящие SMB-соединения (порты TCP 139/445 и UDP 137/138).

В середине января нынешнего года группировка Shadow Brokers выставила на продажу архив, содержащий хакерские инструменты и эксплоиты для уязвимостей в Windows, похищенные у связанной с АНБ группы Equation Group. В числе прочих в списке фигурирует эксплоит для уязвимости нулевого дня в протоколе SMB. По всей видимости, речь идет о проблеме, описанной выше. За данный эксплоит хакеры просят 250 биткойнов. Несмотря на предыдущие заявления о намерении отойти от дел, участники группировки не теряют надежду заработать на похищенных инструментах для взлома.

Опубликован эксплоит для уязвимости нулевого дня в Microsoft Windows
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,477
Реакции
8,855
Баллы
753

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,128
Реакции
5,903
Баллы
648
Вместе с автоматическими обновлениями для Win7 этот патч почему-то не отобразился в списках.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Dragokas, это онли секурите апдейт. Через ЦО предлагает его в наборе с телеметрией.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,128
Реакции
5,903
Баллы
648
Правильно ли я понимаю, что даже если я установил набор телеметрии, этот апдейт безопасности все равно не откажется устанавливаться?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Dragokas, если брать обновления за май (они накопительные, так что включают за предыдущие), то это

KB4019264 - security monthly quality rollup (Ежемесячный набор исправлений качества системы безопасности для Windows)
KB4019263 - security only quality update (только обновления безопасности).
В ежемесячный набор включает и обновление безопасности и телеметрию и ещё какие-то исправления.

Установится ли отдельно только обновление безопасности если стоит ежемесячный не знаю, можешь проверить и отписаться.
 

Newbie

Активный пользователь
Сообщения
135
Реакции
180
Баллы
123
Dragokas, вроде устанавливается Win7 x64
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Собственно ссылки на обновления лучше заменить на KB4019263, так kb4012212 это за март и по сути уже устарело.
Было бы неплохо если бы кто-то взялся бы и бы прямые ссылки на него выложил.
А KB4019263 включает в себя kb4012212 и более свежие исправления.
 
Сверху Снизу