Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

SMBLoris: scoperta nuova falla di SMB in Windows

denial-of-service  microsoft  SMB  SMBLoris   martedì, 1 agosto 2017

Ricercatori indipendenti della società RiskSense hanno recentemente rivelato l’esistenza di una nuova vulnerabilità del protocollo SMBv1 implementato nei sistemi Microsoft Windows, battezzata SMBLoris.

Come segnalato al CERT Nazionale dalla società Yoroi, questa falla può essere sfruttata per rendere temporaneamente inutilizzabili host basati su sistemi operativi Windows a causa di lacune presenti all’interno dei servizi SMB.

La vulnerabilità è legata a problematiche di allocazione della memoria all’interno delle routine di gestione del servizio SMBv1 del sistema. Un attaccante remoto non autenticato potrebbe sfruttare questa criticità per degradare le prestazioni della macchina bersaglio creando disservizi e condizioni di denial of service. La principale caratteristica di SMBLoris risiede nella limitata quantità di risorse necessaria a portare a termine con successo l’attacco: un server Microsoft Windows con 8GB di RAM afflitto dalla problematica risulta soggetto a disservizi anche se vittima di singoli attaccanti con ridotta disponibilità di banda.

Al momento Microsoft non sembra intenzionata a pubblicare una patch per risolvere il problema nei sistemi affetti. Inoltre, la falla potrebbe riguardare tutte le versioni di SMB, non solo la v1.

Vista la tipologia di problematica, la recente pubblicazione di dettagli tecnici utili a testare la vulnerabilità e la presenza di servizi SMB potenzialmente vulnerabili raggiungibili da Internet anche in Italia, si suggerisce ai gestori di sistemi Microsoft di verificare l’esposizione di eventuali servizi SMB e di bloccare mediante firewall l’accesso dall’esterno alle porte 445 e 139.

Inoltre, allo scopo di mitigare eventuali attacchi che potrebbero provenire dall’interno della rete locale, si suggerisce di applicare tecniche di limitazione del rate dei pacchetti relativi ai servizi coinvolti.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (agosto 2017)

9 agosto 2017

Microsoft ha rilasciato l'8 agosto 2017 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple, di cui molte critiche, in Internet Explorer, Edge, Windows e altri prodotti.Leggi tutto

Scoperta nuova versione del trojan bancario TrickBot con capacità di worm

4 agosto 2017

È stata individuata una nuova versione di TrickBot che incorpora un modulo che gli consente di diffondersi lateralmente sulle reti locali con la modalità di un worm.Leggi tutto

Risolta vulnerabilità critica in Microsoft Edge

4 agosto 2017

Microsoft ha rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica di tipo esecuzione di codice da remoto nel browser Edge sui sistemi Windows 10 e Windows Server 2016.Leggi tutto