[ Update 14/11/2009 ]
A Microsoft acaba de lançar o advisory 977544 - Vulnerability in SMB Could Allow Denial of Service. Ele trata da vulnerabilidade SMB divulgada por Laurent Gaffié ante-ontem. Fiquemos de olho para possíveis evoluções da exploração de Negação de Serviço para acesso remoto...
Nos testes que conduzi o efeito é diferente da tela azul do exploit que explora a vulnerabilidade 975497 - descrita no post original. No caso do Windows 7 a máquina simplesmente TRAVA - sem nenhum indício (tela azul, crash dump ou evento do windows) de que o ataque ocorreu - mesmo depois de um reboot.
Mais informações: http://praetorianprefect.com/archives/2009/11/how-to-crash-windows-7-and-server-2008/
[ Update 11/11/2009 ]
Nova falha e novo exploit para Denial of Service Remoto em Windows 7 e 2008, 32 e 64bit ( rede Local e via internet com IE ) publicados por Laurent Gaffié: Windows 7 / Server 2008R2 Remote Kernel Crash
[ Update 29/09/2009 ]
Já existe código público de exploração remota desta vulnerabilidade no projeto MetaSploit. O exploit funciona em Windows Vista Service Pack 1 e 2 e também em Windows 2008 SP1 e SP2. Será que um novo worm Microsoft a la Conficker está vindo aí?
[ Update 20/09/2009 ]
A Microsoft ainda não divulgou uma correção, mas no site de descrição da vulnerabilidade foi incluída uma opção "Microsoft Fix-It" que automatiza o processo de workaround para desabilitar o SMB2 e assim deixar o seu Vista/2008/7 mais seguro.
[ Update 17/09/2009 ]
A vulnerabilidade SMB2 acaba de ficar mais preocupante: A empresa Immunity publicou em seus updates do produto CANVAS código capaz de invadir uma máquina Windows (Vista, Windows 2008 e versões Release Candidate do Windows 7) remotamente utilizando a vulnerabilidade descoberta por Laurent Gaffié (detalhes abaixo).
Certamente os black hats já desenvolveram códigos efetivos similares.
fontes:
O pesquisador de vulnerabilidades canadense Laurent Gaffié publicou em seu blog nesta segunda-feira, 7 de setembro, dados sobre uma vulnerabilidade do protocolo SMB2 em várias versões modernas do Microsoft Windows:
Em um movimento arriscado ele divulgou também um código plenamente efetivo na linguagem python que - quando executado em direção à uma máquina Windows produz uma tela-azul-da-morte (Blue Screen of Death) instantânea - como a da foto acima.
Eu achei um tempo hoje para testar o módulo do metasploit e o código python original contra uma máquina Vista 64Bits Home Edition em português e outra Windows 7 RC em Inglês, e ambos os exploits funcionaram: tela azul instantânea. Impressionante o efeito destrutivo de um simples caractere "&" inesperado em um cabeçalho SMB ...
Vale a pena ressaltar que há possibilidade de execução remota de código explorando a mesma falha, mas ainda náo foi divulgado nnehum exploit com este objetivo.
A divulgação prematura do código de exploração (antes que a Microsoft conseguisse gerar um patch de correção para a vulnerabilidade) gerou várias discussões sobre o movimento "Full Disclosure" de vulnerabilidades versus a notificação responsável das mesmas aos fabricantes.
Os defensores da divulgação aberta de falhas - considerada irresponsável pela Microsoft e outros vendors - argumentam que vários grupos hacker podem possuir conhecimento e já explorem as vulnerabilidades "0-day" e por isto divulgando publicamente há uma pressão sobre os fabricantes para que a correção saia antes, protegendo assim o usuário final.
A página sobre este assunto do CERT traz uma entrada nas perguntas frequentes que fala exatamente desta situação:
Como se proteger do ataque:
Mais detalhes sobre a vulnerabilidade / exploit:
Nova falha e novo exploit para Denial of Service Remoto em Windows 7 e 2008, 32 e 64bit ( rede Local e via internet com IE ) publicados por Laurent Gaffié: Windows 7 / Server 2008R2 Remote Kernel Crash
[ Update 29/09/2009 ]
Já existe código público de exploração remota desta vulnerabilidade no projeto MetaSploit. O exploit funciona em Windows Vista Service Pack 1 e 2 e também em Windows 2008 SP1 e SP2. Será que um novo worm Microsoft a la Conficker está vindo aí?
[ Update 20/09/2009 ]
A Microsoft ainda não divulgou uma correção, mas no site de descrição da vulnerabilidade foi incluída uma opção "Microsoft Fix-It" que automatiza o processo de workaround para desabilitar o SMB2 e assim deixar o seu Vista/2008/7 mais seguro.
[ Update 17/09/2009 ]
A vulnerabilidade SMB2 acaba de ficar mais preocupante: A empresa Immunity publicou em seus updates do produto CANVAS código capaz de invadir uma máquina Windows (Vista, Windows 2008 e versões Release Candidate do Windows 7) remotamente utilizando a vulnerabilidade descoberta por Laurent Gaffié (detalhes abaixo).
Certamente os black hats já desenvolveram códigos efetivos similares.
fontes:
- http://www.theregister.co.uk/2009/09/16/windows_vista_exploit_released/
- http://blogs.zdnet.com/security/?p=4350
O pesquisador de vulnerabilidades canadense Laurent Gaffié publicou em seu blog nesta segunda-feira, 7 de setembro, dados sobre uma vulnerabilidade do protocolo SMB2 em várias versões modernas do Microsoft Windows:
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
(as versões Release Candidates do Windows 7 também estão vulneráveis).
Em um movimento arriscado ele divulgou também um código plenamente efetivo na linguagem python que - quando executado em direção à uma máquina Windows produz uma tela-azul-da-morte (Blue Screen of Death) instantânea - como a da foto acima.
Eu achei um tempo hoje para testar o módulo do metasploit e o código python original contra uma máquina Vista 64Bits Home Edition em português e outra Windows 7 RC em Inglês, e ambos os exploits funcionaram: tela azul instantânea. Impressionante o efeito destrutivo de um simples caractere "&" inesperado em um cabeçalho SMB ...
Vale a pena ressaltar que há possibilidade de execução remota de código explorando a mesma falha, mas ainda náo foi divulgado nnehum exploit com este objetivo.
A divulgação prematura do código de exploração (antes que a Microsoft conseguisse gerar um patch de correção para a vulnerabilidade) gerou várias discussões sobre o movimento "Full Disclosure" de vulnerabilidades versus a notificação responsável das mesmas aos fabricantes.
Os defensores da divulgação aberta de falhas - considerada irresponsável pela Microsoft e outros vendors - argumentam que vários grupos hacker podem possuir conhecimento e já explorem as vulnerabilidades "0-day" e por isto divulgando publicamente há uma pressão sobre os fabricantes para que a correção saia antes, protegendo assim o usuário final.
A página sobre este assunto do CERT traz uma entrada nas perguntas frequentes que fala exatamente desta situação:
Q: Wouldn't it be better to keep vulnerabilities quiet if there isn't a fix available?
A: Vulnerabilities are routinely discovered and disclosed, frequently before vendors have had a fair opportunity to provide a fix, and disclosure often includes working exploits. In our experience, if there is not responsible, qualified disclosure of vulnerability information then researchers, programmers, system administrators, and other IT professionals who discover vulnerabilities often feel they have no choice but to make the information public in an attempt to coerce the vendors into addressing the problem.
Outra faceta desta divulgacão é a certeza da utilização do exploit por script kiddies e talvez a reaparição de programas hackers "low-tech" como o WinNuke - da epóca do Windows 95 - onde o atacante somente precisava entrar o nome ou IP da vítima para gerar um BSOD via uma a exploracão de uma vulnerabilidade NetBios.
Como se proteger do ataque:
- Se certifique que o firewall do Windows está ativo e bloqueando a porta 445/tcp
- Desabilite o compartilhamento de arquivos (file-sharing)
- Desabilite a versão 2 do protocolo SMB (veja como)
Mais detalhes sobre a vulnerabilidade / exploit:
