Összefoglaló
A Windowsban elérhető SMB protokoll húsz éve létező sérülékenységére derült fény, amelyet kihasználva növekvő memória- és processzorhasználat érhető el, ez pedig szolgáltatás-megtagadáshoz vezet.
Leírás
Az idei DEFCON 25 rendezvényen publikálták a sebezhetőséget – SMBLori néven, amit az SMB nem megfelelő memóriakezelése okoz. Az SMB a munkamenetek során az NBSS (NetBIOS Session Service) protokollt használja, ahol minden kapcsolat 128 kB memóriát foglal. A lefoglalt területet felszabadítja a kapcsolat bontásakor, illetve tétlenség esetén 30 másodperc elteltével. Ezen memóriaterületek nem helyezhetők swap területre, így nagy mennyiségű kapcsolat létesítése esetén megtelhet a memória, ami a rendszer összeomlását okozza.
A Windows 2000-ig visszamenőleg minden Windows verzió érintett. A Microsoft szerint nem kritikus a hiba, javítást nem fognak kiadni, mivel egyszerűen, egy adott címről bejövő kapcsolatok számának korlátozásával elhárítható a támadás.
UPDATE:
A legfrissebb információk szerint, az SMBv1 mellett az SMBv2 és az SMBv3 is érintett.
Megoldás
Az egy IP-címről érkező kapcsolódási kérések számának korlátozása a tűzfalon. A 139-es és a 445-ös port tiltása a tűzfalon.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isc.sans.edu
Egyéb referencia: securityaffairs.co