Microsoft perde la presenza di exploit wormable senza patch nei server SMB di Windows 10

Microsoft ha accidentalmente rivelato la presenza di un exploit wormable nel protocollo SMBV3 durante l'infodump del Patch Tuesday, ma senza rilasciare una patch per lo stesso difetto, lasciando vulnerabili tutte le installazioni recenti.

I PC interessati dalla vulnerabilità CVE-2020-0796 includono Windows 10 v1903, Windows 10 v1909, Windows Server v1903 e Windows Server v1909.

Si sospetta che Microsoft stesse pianificando di rilasciare una patch durante questo Patch Tuesday, ma l'ha ritirata all'ultimo minuto, ma ha comunque incluso i dettagli del difetto nella loro API Microsoft, che alcuni fornitori di antivirus hanno raschiato e successivamente pubblicato. Quell'API è attualmente inattiva e fornitori come Cisco Talos che hanno pubblicato i dettagli hanno ora cancellato i loro rapporti.

SMB è lo stesso protocollo sfruttato dal ransomware WannaCry e NotPetya ma fortunatamente in questa occasione non è stato rilasciato alcun codice exploit.

I dettagli completi del difetto non sono stati pubblicati, ma si tratta di un overflow del buffer nel server Microsoft SMB che si verifica "... a causa di un errore quando il software vulnerabile gestisce un pacchetto di dati compresso dannoso". La società di sicurezza Fortinet osserva che "un utente malintenzionato remoto non autenticato può sfruttarlo per eseguire codice arbitrario nel contesto dell'applicazione".

Nessuna patch è stata rilasciata, ma sono disponibili alcune attenuazioni.

Nel loro consiglio inedito Cisco Talos ha suggerito:

"Gli utenti sono incoraggiati a disabilitare la compressione SMBv3 e a bloccare la porta TCP 445 su firewall e computer client."

Aggiornanento: L'avviso completo può ora essere letto in Microsoft qui. Microsoft rileva che la soluzione sopra descritta proteggerà il server ma non i client interessati.

Leggi di più sul problema su ZDNet qui.