The United States Computer Emergency Readiness Team (US-CERT) har offentliggjort en sårbarhed bemærk i går om en ny nul-dags sårbarhed, som påvirker Microsoft Windows 8, 10 og Server udgaver.
Det lyder:
Microsoft Windows indeholder en hukommelse korruption fejl i håndteringen af SMB-trafik, som kan tillade, at en fjern, ikke-autoriseret angriber at forårsage et lammelsesangreb eller muligvis udføre vilkårlig kode på et sårbart system.
Angriberne kan forårsage et lammelsesangreb (denial of service angreb mod de berørte versioner af Windows ved at få Windows-enheder at oprette forbindelse til en skadelig SMB-share. US-CERT bemærker, at muligheden eksisterer, at sårbarheden kan udnyttes til at udføre vilkårlig kode med Windows-kernen privilegier.
Angrebet systemer kan smide en blå skærm på vellykkede angreb.
Den sårbarhed beskrivelse tilbyder yderligere information:
Microsoft Windows undlader at korrekt håndtere trafik fra en ondsindet server. Især Windows ikke på korrekt vis et svar fra serveren, der indeholder for mange bytes, efter den struktur, der er defineret i SMB2 TREE_CONNECT Svar struktur. Ved at forbinde til en ondsindet SMB-server, en sårbare Windows-klient-systemet kan gå ned (BSOD) mrxsmb20.sys. Det er ikke klart på nuværende tidspunkt, om denne sårbarhed kan udnyttes ud over en denial-of-service-angreb. Vi har bekræftet, at de går ned med fuldt patchet Windows 10 og Windows 8.1-klient-systemer.
US-CERT har bekræftet sårbarhed på fuldt patchet Windows 8.1 og Windows-10-klient-systemer. Bleeping Computer bemærker, at sikkerhedsekspert PythonResponder hævdede, at det påvirker Windows Server 2012 og 2016 samt.
Mens der er ingen officiel bekræftelse på, at endnu, det synes sandsynligt, at den Server-produkter er også ramt af sårbarheden.
Sværhedsgraden og foreslog løsninger
US-CERT klassificerer sårbarhed med den højeste sikkerhedsklassifikation af 10 bruger Common Vulnerability Scoring System (CVSS). Faktorer, der spiller en rolle i fastsættelsen af sværhedsgraden af en svaghed, omfatter, om det kan udnyttes af en fjernangriber, og hvor meget ekspertise angribere kræver, at man kan udnytte sårbarheden.
Microsoft har udgivet en sikkerhedsopdatering, rådgivende endnu, men det er formentlig kun et spørgsmål om tid, før selskabet offentliggør security advisory for at informere kunderne om sårbarhed og afbødningsmuligheder.
US-CERT anbefaler at blokere udgående SMB-forbindelser på TCP-port 139 og 445, – og UDP-port 137 og 138 fra det lokale netværk til WAN. for at beskytte Windows-enheder.
Home brugernes netværk, der kan være berørt af sårbarheden, men WANs er ikke så udbredte i hjemmet.
For at finde ud af, om din version af Windows har nogen SMB-forbindelser, skal du gøre følgende:
- Tryk på Windows-tasten, type Powershell, skal du holde Ctrl-og Shift-tasterne, og tryk på Enter-Tasten.
- Bekræfte UAC prompt, der vises.
- Kør kommandoen Get-SmbConnection.
Vi vil opdatere artiklen, når Microsoft udgiver en security advisory for sårbarheden. (via Født Byen)