Qualche mese fa Windows aveva annunciato e risolto una pericolosa vulnerabilità nel protocollo SMBv3, denominata SMBGhost (CVE-2020-0796), che colpisce le versioni 1903 e 1909 di Windows 10 e permette ad un malintenzionato di eseguire del codice remoto. A distanza di qualche mese non solo sono stati pubblicati diversi exploit/PoC per sfruttare questa vulnerabilità, ma è stata anche scoperta un’altra vulnerabilità nella stessa funzione di compressione sfruttata da SMBGhost.
A pubblicare questa ricerca è il team di ZecOps, che nell’approfondire la precedente vulnerabilità ha trovato un altro bug che permette ad un malintenzionato di accedere alla memoria del kernel da remoto senza autenticazione, e l'ha chiamato SMBleed.
Combinando le due vulnerabilità, i ricercatori sono poi riusciti ad ottenere un PoC che permette l’esecuzione di codice da remoto, sia sui server SMB sia sui client, elevando la vulnerabilità e rendendo ancora più necessario il patching dei sistemi Windows.
La facile reperibilità di questi exploit infatti consente a criminali poco esperti di sfruttare questi bug anche su larga scala: queste vulnerabilità agevolano enormemente il lateral movement, ovvero il processo utilizzato dai malintenzionati per estendere la loro sfera di influenza e controllo sui sistemi all'interno di una rete, compromettendo in poco tempo tutti i sistemi vulnerabili raggiungibili tra di loro.
Questo tipo di vulnerabilità si trovano spesso ad esempio nei ransomware, i malware che cifrano il contenuto dei sistemi che infettano, proprio per la loro predisposizione al lateral movement, com’è stato infatti per il famoso caso di WannaCry che sfruttava proprio un’altra vulnerabilità nota sul protocollo SMB (EternalBlue).
È importante quindi agire prontamente quando queste vulnerabilità critiche vengono scoperte, applicando le patch fornite da Microsoft , ed evitando l’inutile esposizione di servizi critici nei sistemi dove non sono necessari, in questo caso SMB (porta 445).