Microsoft si fa scappare i dettagli di una vulnerabilità in SMB ancora senza patch

Un'incomprensione tra Microsoft e i suoi partner sembra essere alla base della rivelazione anzitempo di una nuova vulnerabilità nel protocollo SMB 3.1.1 (Microsoft Server Message Block), utilizzato ad esempio per condividere i file nelle reti aziendali. La vulnerabilità, nota tramite il security advisory CVE-2020-0796, fa sì che sia possibile ottenere controllo completo del sistema e propagare l'infezione. Al momento i dettagli tecnici non sono stati ancora rivelati.

Nuova vulnerabilità per SMB mette a rischio i computer

La nuova vulnerabilità in SMB fa sì che un attaccante possa inviare un pacchetto a un server SMBv3 e prenderne successivamene il controllo. Dall'altro lato, invece, è possibile prendere il controllo di un client nel momento in cui questo si connette a un server compromesso.

La nuova vulnerabilità è wormable, ovvero trasformabile dagli attaccanti in un worm, un malware auto-replicante che infetta automaticamente nuovi computer quando li rileva e propaga autonomamente l'infezione senza necessità di ulteriori interventi.

Val la pena ricordare che fu una vulnerabilità in SMB a permettere la creazione di ransomware come WannaCry e NotPetya, in grado di mettere in ginocchio i sistemi informatici di aziende e organizzazioni in tutto il mondo. Come la vulnerabilità attuale, anche allora si trattava di exploit wormable.

La nuova vulnerabilità non richiede che ci sia l'accesso fisico alla macchina, dunque ma la sua pericolosità sta non solo nel fatto che è sfruttabile utilizzando malware inviati tramite posta elettronica, ma anche attaccando da remoto. Per questo Microsoft consiglia di bloccare l'accesso alla porta 445 dall'esterno del perimetro aziendale.

Per contenere il problema prima del rilascio di una patch è sufficiente disabilitare la compressione dei pacchetti, proteggendo così i server ma non i client.

Ulteriori informazioni sono disponibili nell'avviso sul sito di Microsoft.