Ancora una falla per il protocollo SMB di Microsoft. Questa volta il problema riguarda i client SMB di Windows 7 e Windows Server 2008 R2.
In particolare è possibile causare il crash remoto delle macchine quando queste contattano un particolare server SMB modificato.
I client qualora si ritrovino a processare dei pacchetti di risposta con header NetBIOS insufficienti entrano in un loop infinito che rende la macchina inutilizzabile. Attualmente non si ha conferma che il bug sia stato sfruttato per compromettere il sistema.
La brutta notizia è che per cadere vittima di un potenziale attacco DoS non è necessario che il server venga contattato manualmente, ma è sufficiente ad esempio accedere via Internet Explorer ad una pagina Web che contenga un apposito link.
Gli attacchi inoltre non sono confinati alla sola LAN, questo nel caso i sistemi di packet filtering o firewall siano stati appositamente configurati per far i passare i pacchetti SMB.
Laurent Gaffié, che ha scoperto la vulnerabilità DoS, ha scritto un apposito server in Python per dimostrare il problema.
Dai test effettuati da Heise Security, nel caso di una macchina Windows 7 si è riscontrato un blocco del sistema non appena il server è stato contattato: è stato necessario un riavvio forzato.
Gaffié ha informato Microsoft del problema in data 8 novembre, tuttavia non è ancora disponibile una patch per correggere il bug.
Al solito il workaround più immediato è quello di impostare i firewall per bloccare le porte 139 e 445, direttamente collegate al protocollo SMB.
Già durante il mese di settembre avevamo posto l’attenzione sul problema riguardante la vulnerabilità del protocollo SMBv2 e sull’exploit funzionante che circolava.
La falla fu chiusa nel mese di ottobre e si scoprì come Microsoft fosse al corrente da tempo del problema e stesse lavorando alla sua correzione per la versione finale di Windows 7.