Zero-Day στα Windows 8, 10: Ελέγξτε το σύστημά σας


Η ομάδα United States Computer Emergency Readiness (US-CERT) δημοσίευσε ένα νέο zero-day που επηρεάζει τα λειτουργικά της Microsoft Windows 8, 10 και Server.

Η US-CERT αναφέρει:

Τα Microsoft Windows περιέχουν ένα memory corruption bug στο χειρισμό του SMB traffic, το οποίο μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα, χωρίς έλεγχο ταυτότητας να προκαλέσει άρνηση υπηρεσίας ή δυνητικά να εκτελέσει αυθαίρετο κώδικα σε ένα ευάλωτο σύστημα.Zero-Day

Οι επιτιθέμενοι χρησιμοποιώντας το συγκεκριμένο Zero-Day μπορούν να προκαλέσουν επιθέσεις denial of service (DoS) εναντίον εκδόσεων των Windows που περιέχουν το bug. Έτσι οι ευάλωτες συσκευές μπορούν να συνδεθούν σε κακόβουλα SMB. Η US-CERT αναφέρει ότι υπάρχει η πιθανότητα η ευπάθεια να μπορεί να αξιοποιηθεί και για την εκτέλεση αυθαίρετου κώδικα με προνόμια του Windows Core.

Η περιγραφή της ευπάθειας αναφέρει επιπρόσθετες πληροφορίες:

Τα Windows αποτυγχάνουν να χειριστούν σωστά την κίνηση από ένα κακόβουλο διακομιστή. Ειδικότερα, τα Windows δεν χειρίζονται σωστά μια απάντηση διακομιστή που περιέχει πάρα πολλά bytes ακολουθώντας τη δομή που ορίζεται από το SMB2 TREE_CONNECT Response. Με τη σύνδεση σε ένα κακόβουλο διακομιστή SMB, το ευάλωτο σύστημα των Windows μπορεί εμφανίσει τη BSOD (Blue Screen of Death) με σφάλμα του Mrxsmb20.sys. Δεν είναι σαφές σε αυτό το σημείο αν αυτή η ευπάθεια μπορεί να είναι εκμεταλλεύσιμη πέρα ​​από μια επίθεση denial-of-service. Έχουμε επιβεβαιώσει το crash με πλήρως επιδιορθωμένα συστήματα client των Windows 10 και Windows 8.1.

US-CERT επιβεβαίωσε την ευπάθεια σε πλήρως επιδιορθωμένο συστήματα client των Windows 8.1 και Windows 10. Η ιστοσελίδα Bleeping Computer αναφέρει ότι ερευνητής ασφαλείας PythonResponder ισχυρίζεται ότι η ευπάθεια επηρεάζει και τον Windows Server 2012 και 2016.

Προς το παρόν δεν υπάρχει κάποια επίσημη επιβεβαίωση ότι επηρεάζονται και οι Servers των Windows από την ευπάθεια.

Η US-CERT κατατάσσει την ευπάθεια στην υψηλότερη βαθμολογία σοβαρότητας (10), και αξίζει να σημειωθεί ότι η Microsoft δεν έχει κυκλοφορήσει κάποια ενημέρωση ασφαλείας ακόμα.

Η US-CERT από την άλλη συνιστά να μπλοκάρετε όλες τις εξερχόμενες συνδέσεις SMB στη θύρα TCP 139 και 445, και UDP 137 και 138 από το τοπικό δίκτυο στο WAN.

Για να μάθετε αν η έκδοση των Windows που χρησιμοποιείτε διαθέτει οποιεσδήποτε συνδέσεις SMB, κάντε τα παρακάτω:

  • Στην αναζήτηση πληκτρολογήστε το Powershell, δεξί κλικ στο εικονίδιο και ανοίξτε σαν διαχειριστής.
  • Επιβεβαιώστε το UAC που θα εμφανιστεί
  • και τρέξτε την εντολή Get-SmbConnection.

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news