Nowa-stara luka potencjalnie może zagrażać milionom komputerów na całym świecie, choć jej wykorzystanie wymaga zrealizowania ściśle określonego scenariusza. Nie jest on jednak zależny od użytkownika. Urządzenie może zostać zarażone nawet, jeżeli będziemy przestrzegać wszystkich zasad bezpieczeństwa i nie będziemy klikać w podejrzane linki.

W 1997 roku luka umożliwiała kradzież loginu i hasła do Windowsa poprzez logowanie po SMB. Windows 95 logował się do zdalnych zasobów SMB automatycznie, przez co dochodziło do ujawnienia danych. Wystarczyło podstawić specjalną stronę internetową i skorzystać z przeglądarki Internet Explorer.

Microsoft co prawda wydał wtedy poprawkę, jednak nie załatała ona całego problemu, gdyż ten tkwił w złej konstrukcji systemu. I właśnie dlatego po 18 latach luka pojawiła się ponownie, choć jej działanie jest nieco inne.

Hakerzy do ataku mogą wykorzystać webserwer odpowiadający na żądania HTTP kodem błędu 301 i 302. W ten sposób użytkownik jest przekierowywany na zasób SMB, w wyniku czego dochodzi do wycieku danych. Na lukę podatny jest Internet Explorer, a także wszystkie aplikacje korzystające z dziurawej biblioteki urlmon.dll.

Wśród podatnych programów wymienia się między innymi Adobe Reader, Apple QuickTime, GitHub, Apple Software Update czy Microsoft Baseline Security Analyser. Co ciekawe, do grupy tej zaliczają się również antywirusy Symanteca, AVG, BitDefendera oraz Comodo.

Jak podaje portal Niebezpiecznik, przed luką nie można się ustrzec. Bezpieczeństwo leży w rękach twórców oprogramowania, którzy muszą zaktualizować swoje aplikacje w taki sposób, aby nie korzystały z funkcji przekierowania żądań do SMB. Ostatecznie warto pokusić się o zablokowanie portów TCP 139 oraz 445 w kierunku wychodzącym. Można tego dokonać za pomocą firewalla.

Źródło: Niebezpiecznik via Instalki

Na niebezpieczeństwo narażone są systemy w których występuje protokół SMB 2.0 czyli Windows Vista, Windows Server 2008 oraz Windows 7 RC. Producent informuje, że problem nie dotyczy najnowszych edycji czyli Windows 7 RTM i Windows Server 2008 R2. Atak z wykorzystaniem opublikowanego exploita może doprowadzić do zawieszenia maszyny jednak Microsoft zastrzega iż istnieje ryzyko całkowitego przejęcia kontroli nad systemem.

Pierwszym sposobem chroniącym przed luką w SMB jest blokada portu 445 na zaporze firewall. Jeżeli w Windows Vista sieć skonfigurowana jest jako publiczna to port ten zablokowany jest domyślnie. Innym rozwiązaniem jest całkowite wyłączenie SMB 2.0 – aby wykonać tą operację należy przejść do edytora rejestru (wybierz z menu Start opcję Uruchom, wpisz Regedit i naciśnij Ok). Następnie w kluczu „HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services” należy utworzyć nową wartość DWORD o nazwie smb2 wpisując do niej 0. Po zresetowaniu usługi Server protokół SMB zostanie wyłączony.

Poradnik bezpieczeństwa – Microsoft Security Advisory (975497) – opisuje również sposób na ponowne włączenie SMB 2.0. Microsoft pracuje obecnie nad aktualizacją bezpieczeństwa któy wyeliminuje lukę. Zostanie ona opublikowana w ramach comiesięcznych biuletynów bezpieczeństwa lub poza cyklem wydawniczym, w zależności od potrzeb klientów.

Źródło: Microsoft