www.MegaLab.it

Nel corso del weekend, Microsoft ha pubblicato un nuovo security advisory titolato "Vulnerability in SMB Could Allow Denial of Service") mediante il quale l'azienda informa i propri clienti circa un nuovo problema di sicurezza che affligge Windows 7 e la relativa controparte Windows Server 2008 R2.

Il problema interessa il protocollo Server Message Block (SMB) in entrambe le versioni SMBv1 e SMBv2 e potrebbe consentire ad un utente ostile di causare il crash della macchina via rete.

In caso l'attacco andasse a buon fine, l'aggressore potrebbe ottenere al massimo un denial of service: Microsoft esclude infatti la possibilità che la debolezza possa essere sfruttata per eseguire codice da remoto e, di conseguenza, non v'è modo di far leva sul baco per installare virus o programmi d'accesso remoto sulla macchina colpita.

Ad attenuare ulteriormente il rischio, vi è anche un altro aspetto intrinseco. SMB è utilizzato per le funzionalità di condivisione di file e stampanti, una caratteristica che generalmente viene mantenuta attiva e raggiungibile solamente dall'interno della rete locale (LAN). Come tale, il rischio è legato principalmente ad un'aggressione proveniente dall'interno del perimetro.

Come i più attenti ricorderanno, è la seconda volta nel giro di pochi mesi che il protocollo SMB è sotto la lente d'ingrandimento. Già in settembre infatti, un difetto rintracciato in SMBv2 poneva a serio rischio Windows Vista e Windows Server 2008. Microsoft ha comunque precisato che le due vulnerabilità sono completamente indipendenti l'una dall'altra.

Se però la volta scorsa è stato necessario attendere parecchie settimane per assistere all'arrivo di un exploit, la situazione questa volta è differente: nel corso dell'advisory, Microsoft informa l'utenza che un exploit funzionante è già stato pubblicato in rete. Ciònonostante, l'azienda non ha ancora ricevuto segnalazioni di attacchi portati in questo modo.

Come proteggersi

Nonostante il problema non sia particolarmente grave, non è da escludere che possa essere sfruttato per creare qualche disturbo, soprattutto in ambito aziendale.

In attesa di una patch in grado di correggere definitivamente il bug, la raccomandazione è quella di sincerarsi che le porte TCP/139 e TCP/445 non siano raggiungibili, perlomeno dall'esterno. Inibire la raggiungibilità di tale servizio dall'interno della rete locale, per quanto possa risultare una soluzione realmente in grado di far fronte al problema, potrebbe non essere cosa fattibile: così facendo infatti, le indispensabili condivisioni di rete smetterebbero di funzionare.