Non è la prima volta che accade, Microsoft non è riuscita a correggere in tempo una nuova vulnerabilità 0-day con l’ultima patch di sicurezza. Per il fix ufficiale si dovrà attendere probabilmente la patch di aprile.
1 LUGLIO 2020 | Dopo l’exploit per Windows su GitHub, è stato pubblicato anche l’exploit per Windows on ARM. Per questo motivo, ancora una volta, è fortemente consigliato aggiornare il vostro sistema con le ultime patch di sicurezza rilasciate da Microsoft, evitando possibili attacchi da parte di malintenzionati in remoto.
8 GIUGNO 2020 | A tre mesi di distanza, su GitHub è stato pubblicato l’exploit della vulnerabilità CVE-2020-0796, conosciuta come SMBGhost, già corretta da Microsoft. Per tanto è fortemente consigliato aggiornare il vostro sistema con le ultime patch di sicurezza rilasciate da Microsoft, evitando possibili attacchi da parte di malintenzionati in remoto.
12 MARZO 2020 | Contrariamente a quanto pensato, Microsoft ha patchato la falla di sicurezza in meno di 48 ore rilasciando un secondo aggiornamento cumulativo – maggiori dettagli in quest’altro articolo. Nel caso in cui voleste verificare lo stato di vulnerabilità del protocollo, è possibile effettuare un test tramite un apposito script – maggiori dettagli a questo indirizzo.
Nuova vulnerabilità 0-day senza fix
Microsoft ha pubblicato un avviso di sicurezza nel quale avverte di essere a conoscenza di una nuova vulnerabilità del protocollo SMBv3 di Windows, che tuttavia non dovrebbe rappresentare un problema di sicurezza in quanto non sarebbe ancora stata vittima di un exploit.
Microsoft è a conoscenza di una vulnerabilità di esecuzione remota del codice nel modo in cui il protocollo Microsoft Server Message Block 3.1.1 (SMBv3) gestisce determinate richieste. Questa vulnerabilità si applica a Windows 10 versione 1903, Windows 10 versione 1909, Windows Server versione 1903 e Windows Server versione 1909.
Un utente malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe acquisire la capacità di eseguire codice sul server SMB o sul client SMB di destinazione. Per sfruttare la vulnerabilità nei confronti di un server SMB, un utente malintenzionato non autenticato potrebbe inviare un pacchetto appositamente predisposto a un server SMBv3 di destinazione. Per sfruttare la vulnerabilità nei confronti di un client SMB, un utente malintenzionato non autenticato dovrebbe configurare un server SMBv3 dannoso e convincere un utente a connettersi a esso.
Nonostante la patch non sia ancora pronta, Microsoft ha comunque fornito una soluzione temporanea, nel caso in cui voleste porre subito rimedio all’eventuale falla di sicurezza, che consiste nel disabilitare momentaneamente il suddetto protocollo.
La seguente soluzione alternativa può essere utile nella tua situazione. In tutti i casi, Microsoft consiglia vivamente di installare gli aggiornamenti per questa vulnerabilità non appena diventano disponibili, anche se si prevede di lasciare in atto questa soluzione alternativa:
Disabilita la compressione SMBv3
È possibile disabilitare la compressione per impedire agli aggressori non autenticati di sfruttare la vulnerabilità su un server SMBv3 con il comando PowerShell riportato di seguito.
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
Note:
- Non è necessario riavviare dopo aver apportato la modifica.
- Questa soluzione alternativa non impedisce l’uso dei client SMB.
È possibile disabilitare la soluzione alternativa con il comando PowerShell che segue.
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force
Utilizzate il protocollo SMB? Scrivete cosa ne pensate nello spazio dedicato ai commenti.
Articolo di Windows Blog Italia