Microsoft venter med at fjerne kendt SMB-sårbarhed i Windows

Sårbarheden opbruger al hukommelse, men Microsoft har konkluderet, at den ikke er alvorlig nok, og har ikke travlt med at få den fjernet.

Microsoft blev den 2. juni i år varslet om en sårbarhed i selskabets implementering af alle versioner af netværksprotokollen SMB (Server Message Block). Sårbarheden har efter sigende eksisteret i mere end 20 år og berører alle nyere versioner af Windows, men også Samba-softwaren, som blandt andet understøtter Linux-maskiner med SMB. SMB bruges blandt andet til at dele filer og printere på tværs af netværk, fortrinsvis lokale.

Sårbarheden, som kaldes SMBLoris, gør det muligt at udføre DDoS-angreb mod pc’er med SMB-støtte, uden at angriberen behøver at være en autoriseret bruger.

Samme port som WannaCry

Angrebet kan udføres via port 445, den samme port, som WannaCry-malwaren udnytttede. Det viste sig, at denne netværksport hos mange ligger åben mod internettet. Hos andre må angriberen først få adgang til offerets lokalnet.

Ifølge sikkerhedsforskerne, som har opdaget sårbarheden, Sean Dillon og Jenna Magius fra selskabet RiskSense, behøver man kun at besidde grundlæggende netværkskundskaber for at kunne udføre angrebet.

Enormt ressourcekrævende

Sårbarheden gør det muligt for en angriber at sende en mængde forespørgsler, som kræver meget lidt af den angrebne maskine, men som fører til, at der lægges store mængder data i maskinens hukommelse ud over det, som beskrives som enorme mængder udsmidte CPU-cyklusser.

Dette kan føre til, at den angrebne maskine bliver ude af stand til at udføre sine sædvanlige opgaver, f.eks. servertjenester som e-mails, database og web. I værste fald kan angrebet få systemet til at crashe.

I videoen nedenfor, hvor angrebet demonstreres, ses det, at den angrebne maskines opbrugte hukommelse stiger kraftigt. Det er også tydeligt, at maskinen efterhånden ikke længere evner at besvare ping-forespørgsler.

Flere detaljer om sårbarheden kan findes på denne side.

Microsoft afviser

Ifølge sikkerhedsforskerne har to forskellige teams hos Microsoft vurderet sårbarheden. Men begge har konkluderet, at den ikke er alvorlig nok til at blive fjernet i en sikkerhedsopdatering. I stedet, har selskabet oplyst, vil problemet blive rettet i en fremtidig udgave af Windows.

Sårbarheden er opkaldt efter Slowloris, en tilsvarende type DDoS-angreb, som kunne rettes som flere forskellige typer websevere. Den blev første gang demonstreret i 2009.

Mulige tiltag

Administratorer af pc’er med Samba kan forhindre denne type angreb ved at tilføje følgende linje i smb.conf-filen.

max smbd processes = 1000

Det vil begrænse, hvor mange processer SMB-angriberen vil kunne køre på en gang.

Administratorer af Windows-maskiner kan hindre angreb ved at blokere SMB-tjenesten ved hjælp af en firewall, enten på selve systemet eller eksternt. Eventuelt kan man begrænse, hvor mange SMB-forbindelser en enkelt IP-adresse kan have åben.

Sikkerhedsforskerne demonstrerede et angreb for publikum under Def Con-konferencen i Las Vegas i slutningen af juli.

Ifølge Bleeping Computer har sikkerhedsforskeren Hector Martin udarbejdet et proof-of-concept på et angrebsværktøj, som kan udnytte SMBLoris. Koden er tilgængelig her og her.

Den skulle gøre det muligt at få en helt opdateret Windows 10 Pro-maskine med 8 gigabyte RAM til at segne på mindre end 10 sekunder.

Denne artikel strammer fra norske digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henrik Nielsen

De har for længst rettet fejlene i alle senere version af samba. Man vil ikke rette fejlen i SMBv1, fordi denne udfases totalt med den næste store opdatering til Windows 10 i september, og det har egentligt været planen i mange år, også før WannaCry. Blogindlægget er fra 2016, men opdateret længere nede med information fra 2017. https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

Citat fra blogindlæg: "Stop using SMB1. Stop using SMB1. STOP USING SMB1!

Earlier this week we released MS16-114, a security update that prevents denial of service and remote code execution. If you need this security patch, you already have a much bigger problem: you are still running SMB1.

The original SMB1 protocol is nearly 30 years old, and like much of the software made in the 80’s, it was designed for a world that no longer exists. A world without malicious actors, without vast sets of important data, without near-universal computer usage. Frankly, its naivete is staggering when viewed though modern eyes. I blame the West Coast hippy lifestyle :).

Let me explain why this protocol needs to hit the landfill."

  • 1
  • 0
Log ind eller Opret konto for at kommentere