A quanto pare un bug di implementazione nel protocollo SMB2 di Microsoft può essere tranquillamente sfruttato via rete per mandare in crash o riavviare i sistemi che montano Windows Vista o Windows 7.
Causa del problema sembra essere un errore nella gestione da parte del driver srv2.sys delle richieste client quando il campo “Process Id High” dell’header contiene il carattere ampersand.
Affinché l’attacco possa essere portato a termine con successo è sufficiente che la porta 445 sul sistema target sia accessibile: non è necessaria alcuna forma di autenticazione.
SMB2 è la nuova versione del noto protocollo Server Message Block, introdotta con Windows Vista nel 2006.
Sul web circola già un exploit funzionante scritto in Python.
Dai test effettuati da Heise Security, che ha anche riportato la notizia, è stato confermato il riavvio di sistemi che usano Windows Vista. A quanto pare invece nulla di fatto su sistemi con Windows 7.
Secondo quanto scrive invece Laurent Gaffie, che ha scoperto il bug, i sistemi Windows Vista/7 a 32 o 64bit con SP1/SP2 sarebbero vulnerabili. In teoria anche Windows Server 2008 soffrirebbe dello stesso problema dato che utilizza la stessa versione del driver SMB 2.0.
I sistemi come Windows XP e 2000 non sarebbero interessati visto che non supportano il nuovo protocollo.
Dato che al momento Microsoft non ha rilasciato alcuna patch ufficiale che risolva il problema, la soluzione è quella di chiudere le porte SMB attraverso le impostazioni del firewall onde evitare spiacevoli sorprese.
