Al Def Con è stato annunciato, da parte di alcuni ricercatori dei laboratori RiskSense, l’individuazione di una nuova vulnerabilità nell’SMB di Windows chiamata SMBLoris, cosa che riguarderebbe tutte le versioni attualmente in uso, quindi dalla versione 1 alla 3.
Il problema è legato ad una non corretta gestione della memoria all’interno dei procedimenti di gestione del servizio SMB, cosa che permetterebbe di esaurire il pool di memoria e mandare in crash il server. Interessante notare che per eseguire l’attacco è necessario anche un solo elaboratore o anche usando un Rasberry PI.
A giugno è stato segnalato il problema a Microsoft, la quale dopo aver svolto indagini interne sulla vulnerabilità, ha deciso che non pubblicherà alcun aggiornamento visto e considerato che hanno classificato la gravità della vulnerabilità come moderata.
Quindi i consigli da applicare per mitigare il problema sono:
- Disabilitare l’SMB v1 altrimenti disabilitare l’accesso ad internet dell’SMB v1
- limitare il numero di connessioni attive da un IP singolo alle porte SMB
- bloccare mediante firewall l’accesso dall’esterno alle porte 445 e 139
- applicare tecniche di limitazione del rate dei pacchetti relativi ai servizi coinvolti (CertNazionale)
Approfondimenti: Threatpost