SMBLori – Windows SMB sérülékenysége

CH azonosító

CH-14164

Angol cím

SMBLori - Windows SMB vulnerability

Felfedezés dátuma

2017.07.29.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000 és újabb rendszerek, engedélyezett SMBv1, SMBv2, SMBv3 szolgáltatással

Összefoglaló

A Windowsban elérhető SMB protokoll húsz éve létező sérülékenységére derült fény, amelyet kihasználva növekvő memória- és processzorhasználat érhető el, ez pedig szolgáltatás-megtagadáshoz vezet.

Leírás

Az idei DEFCON 25 rendezvényen publikálták a sebezhetőséget – SMBLori néven, amit az SMB nem megfelelő memóriakezelése okoz. Az SMB a munkamenetek során az NBSS (NetBIOS Session Service) protokollt használja, ahol minden kapcsolat 128 kB memóriát foglal. A lefoglalt területet felszabadítja a kapcsolat bontásakor, illetve tétlenség esetén 30 másodperc elteltével. Ezen memóriaterületek nem helyezhetők swap területre, így nagy mennyiségű kapcsolat létesítése esetén megtelhet a memória, ami a rendszer összeomlását okozza.
A Windows 2000-ig visszamenőleg minden Windows verzió érintett. A Microsoft szerint nem kritikus a hiba, javítást nem fognak kiadni, mivel egyszerűen, egy adott címről bejövő kapcsolatok számának korlátozásával elhárítható a támadás.

UPDATE:

A legfrissebb információk szerint, az SMBv1 mellett az SMBv2 és az SMBv3 is érintett.

Megoldás

Az egy IP-címről érkező kapcsolódási kérések számának korlátozása a tűzfalon. A 139-es és a 445-ös port tiltása a tűzfalon.

Hivatkozások

Egyéb referencia: isc.sans.edu
Egyéb referencia: securityaffairs.co