È in fase di rollout l’aggiornamento KB4551762 destinato ai sistemi operativi Windows 10 (versioni 1903 e 1909) e Windows Server 2019 (versioni 1903 e 1909) che risolve la vulnerabilità riscontrata in SMBv3 e resa nota nei giorni scorsi, a poca distanza dal Patch Tuesday.
SMBGhost: c’è la patch di Microsoft
La falla, identificata come CVE-2020-0796 e immediatamente battezzata SMBGhost, interessa il protocollo Server Message Block impiegato per la condivisione di file, stampanti e altre risorse sia all’interno della rete locale sia via Internet. Senza il fix di oggi un malintenzionato la potrebbe sfruttare per connettersi da remoto a sistemi in cui il servizio è attivo ed eseguire codice maligno con conseguenze facilmente immaginabili.
I ricercatori che l’hanno resa nota anzitempo (pare a causa di un malinteso a livello di comunicazione con Microsoft) affermano che la vulnerabilità può essere impiegata per la distribuzione di malware e ransomware simili ad alcuni di quelli più dannosi visti in azione negli ultimi anni, in stile WannaCry e NotPetya. Già in Rete diversi proof-of-concept che mostrano come non sia poi così difficile sfruttarla.
Our Telltale research team will be sharing new insights into CVE-2020-0796 soon. Until then, here is a quick DoS PoC our researcher @MalwareTechBlog created. The #SMB bug appears trivial to identify, even without the presence of a patch to analyze. https://t.co/7opHftyDh0 @2sec4u pic.twitter.com/0H7FYIxvne
— Kryptos Logic (@kryptoslogic) March 12, 2020
Secondo l’analisi condotta da Kryptos Logic ci sono circa 48.000 host connessi a Internet e potenzialmente esposti al problema.
We've just finished our first internet wide scan for CVE-2020-0796 and have identified 48000 vulnerable hosts. We'll be loading this data into Telltale for CERTs and organisations to action. We're also working on a blog post with more details (after patch).
— Kryptos Logic (@kryptoslogic) March 12, 2020
Senza la fuga di informazioni dei giorni scorsi con tutta probabilità Microsoft non avrebbe rilasciato il fix oggi, a pochi giorni di distanza dal Patch Tuesday. Sulle pagine del supporto ufficiale alcuni workaround utili per mettersi al riparo nel caso fosse impossibile scaricare e installare l’aggiornamento odierno. Uno di questi prevede il blocco della porta 445 via firewall.