SecurityOpenLab

Exploit SMBGhost minaccia la sicurezza, installate la patch

La vulnerabilità critica SMBGhost minaccia la sicurezza delle reti aziendali. Da marzo è disponibile la patch, dev'essere installata con la massima priorità.

La Cybersecurity & Infrastructure Security Agency (CISA) ha emesso un avviso su una vulnerabilità critica in Microsoft Server Message Block (SMB). Stando alla fonte i cyber criminali la stanno già sfruttando. La falla in questione è identificata con il codice CVE-2020-0796 e per chiuderla è sufficiente installare la patch pubblicata da Microsoft nel mese di marzo.

Chi non l'avesse ancora installata dovrebbe farlo con priorità, perché un codice proof-of-concept (PoC) sta sfruttando questo bug per colpire i sistemi privi di patch. Quello di sfruttare vecchie vulnerabilità è un modus operandi piuttosto frequente fra i cyber criminali. Basti pensare che ci sono alcune falle storiche le cui correzioni sono disponibili da tempo che tuttora permettono di violare migliaia di sistemi.

È da qui che deriva l'allerta del CISA. CVE-2020-0796 è nota anche come SMBGhost o CoronaBlue. Colpisce i sistemi Windows 10 e Windows Server 2019 e si annida nella versione 3.1.1 del protocollo Microsoft Server Message Block (SMB). Per la cronaca, è lo stesso protocollo preso di mira dal ransomware WannaCry nel 2017.
microsoft smbSMB è in sostanza un sistema di condivisione di file che consente a più client di accedere alle cartelle condivise. È un ambiente ideale per i malware che mirano a spostarsi lateralmente in rete, diffondendo l'infezione da un client all'altro.

La falla di questo caso in particolare riguarda una vulnerabilità di integer overflow nella routine di decompressione dei messaggi SMB v3.1.1. In sostanza si tratta di un problema di esecuzione del codice remoto, presente nel modo in cui il protocollo Microsoft Server Message Block 3.1.1 gestisce determinate richieste. Se la falla viene sfruttata con successo, un cyber criminale può eseguire del codice da remoto sul sistema vittima.

uesto bug è di gravità critica, con un punteggio Common Vulnerability Scoring System (CVSS) pari a 10, ossia il massimo della scala. La correzione è identificabile dalla sigla KB4551762 ed è compresa negli aggiornamenti di Windows 10 (versioni 1903 e 1909) e Windows Server 2019 (versioni 1903 e 1909).

Al momento non è noto quale sia il codice PoC che viene impiegato per sfruttate la falla. È sconosciuta anche l'identità del gruppo o dei gruppi che la sfruttano. L'unico commento ufficiale di Microsoft riguarda i consigli per calmierare il problema:

"Consigliamo ai clienti di installare gli aggiornamenti il prima possibile, poiché le vulnerabilità divulgate pubblicamente possono essere sfruttate. L'aggiornamento per questa falla è stato pubblicato nel mese di marzo e i clienti che hanno installato gli aggiornamenti, o hanno gli aggiornamenti automatici abilitati, sono già protetti".

Esistono inoltre due soluzioni alternative per proteggersi dagli attacchi. La prima consiste nel disabilitare la compressione SMB, la seconda nel bloccare la porta 445, seguendo le indicazioni pubblicate su questa pagina ufficiale.

Da notare che il bug di cui stiamo parlando fu accidentalmente divulgato nel mese di marzo, quando Cisco Talos pubblicò un report sul Patch Tueday che includeva informazioni al riguardo. Per questo la correzione di CVE-2020-0796 non fu inclusa nel Patch Tuesday, ma fu pubblicata due giorni dopo.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 09/06/2020


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore