La Cybersecurity & Infrastructure Security Agency (CISA) ha emesso un avviso su una vulnerabilità critica in Microsoft Server Message Block (SMB). Stando alla fonte i cyber criminali la stanno già sfruttando. La falla in questione è identificata con il codice CVE-2020-0796 e per chiuderla è sufficiente installare la patch pubblicata da Microsoft nel mese di marzo.

Chi non l'avesse ancora installata dovrebbe farlo con priorità, perché un codice proof-of-concept (PoC) sta sfruttando questo bug per colpire i sistemi privi di patch. Quello di sfruttare vecchie vulnerabilità è un modus operandi piuttosto frequente fra i cyber criminali. Basti pensare che ci sono alcune falle storiche le cui correzioni sono disponibili da tempo che tuttora permettono di violare migliaia di sistemi.

È da qui che deriva l'allerta del CISA. CVE-2020-0796 è nota anche come SMBGhost o CoronaBlue. Colpisce i sistemi Windows 10 e Windows Server 2019 e si annida nella versione 3.1.1 del protocollo Microsoft Server Message Block (SMB). Per la cronaca, è lo stesso protocollo preso di mira dal ransomware WannaCry nel 2017.
SMB è in sostanza un sistema di condivisione di file che consente a più client di accedere alle cartelle condivise. È un ambiente ideale per i malware che mirano a spostarsi lateralmente in rete, diffondendo l'infezione da un client all'altro.

La falla di questo caso in particolare riguarda una vulnerabilità di integer overflow nella routine di decompressione dei messaggi SMB v3.1.1. In sostanza si tratta di un problema di esecuzione del codice remoto, presente nel modo in cui il protocollo Microsoft Server Message Block 3.1.1 gestisce determinate richieste. Se la falla viene sfruttata con successo, un cyber criminale può eseguire del codice da remoto sul sistema vittima.

uesto bug è di gravità critica, con un punteggio Common Vulnerability Scoring System (CVSS) pari a 10, ossia il massimo della scala. La correzione è identificabile dalla sigla KB4551762 ed è compresa negli aggiornamenti di Windows 10 (versioni 1903 e 1909) e Windows Server 2019 (versioni 1903 e 1909).

Al momento non è noto quale sia il codice PoC che viene impiegato per sfruttate la falla. È sconosciuta anche l'identità del gruppo o dei gruppi che la sfruttano. L'unico commento ufficiale di Microsoft riguarda i consigli per calmierare il problema:

"Consigliamo ai clienti di installare gli aggiornamenti il prima possibile, poiché le vulnerabilità divulgate pubblicamente possono essere sfruttate. L'aggiornamento per questa falla è stato pubblicato nel mese di marzo e i clienti che hanno installato gli aggiornamenti, o hanno gli aggiornamenti automatici abilitati, sono già protetti".

Esistono inoltre due soluzioni alternative per proteggersi dagli attacchi. La prima consiste nel disabilitare la compressione SMB, la seconda nel bloccare la porta 445, seguendo le indicazioni pubblicate su questa pagina ufficiale.

Da notare che il bug di cui stiamo parlando fu accidentalmente divulgato nel mese di marzo, quando Cisco Talos pubblicò un report sul Patch Tueday che includeva informazioni al riguardo. Per questo la correzione di CVE-2020-0796 non fu inclusa nel Patch Tuesday, ma fu pubblicata due giorni dopo.