Windows 10, Microsoft conferma vulnerabilità SMBv3

Aggiornamento: Microsoft ha rilasciato la patch KB4551762 che risolve la vulnerabilità.

Microsoft ha pubblicato un bollettino di sicurezza per confermare la presenza di una vulnerabilità nel servizio Server Message Block 3.1.1 (SMBv3) di Windows 10 1909/1903 e Windows Server 1909/1903. Il protocollo viene sfruttato per la condivisione di file, stampanti e altre risorse sulla rete locale e Internet. Al momento non esiste una patch, ma solo per i server.

La vulnerabilità consente l’esecuzione di codice remoto, quindi un malintenzionato potrebbe inviare pacchetti specifici al server SMB senza la necessità di autenticazione oppure convincere il client SMB a collegarsi al server. Il problema è meno grave rispetto a quello scoperto nel protocollo SMBv1 e sfruttato dai famigerati ransomware WannaCry e NotPetya nel 2017. Tuttavia Microsoft consiglia di applicare il workaround per i server SMBv3 in attesa della patch. La soluzione temporanea prevede la disattivazione della compressione tramite uno specifico comando PowerShell e il blocco del traffico sulla porta 445.

Fortinet e Cisco Talos avevano pubblicato informazioni dettagliate sulla vulnerabilità, ma stranamente sono state rimosse dai loro siti. È probabile che Microsoft avesse pianificato la distribuzione del fix in occasione del tradizionale Patch Tuesday (10 marzo), ma all’ultimo momento il rilascio è stato posticipato. Forse i due partner non erano stati avvisati in tempo.

Fortinet aveva scritto che la vulnerabilità è dovuta ad un errore nella gestione dei pacchetti di dati compressi. Cisco Talos aveva aggiunto che il bug può essere sfruttato per eseguire attacchi “wormable“. È sufficiente colpire un singolo computer della rete locale (il server SMBv3) per diffondere eventuali malware a tutti gli altri computer (client SMBv3). Ecco perché è fortemente consigliata l’applicazione del workaround.