Vulnerabilità SMBLoris per Sistemi Microsoft 

 

Proto: N100717.

Con la presente Yoroi desidera informarLa riguardo alla recente pubblicazione di una importante vulnerabilità denominata SMBLoris in grado di rendere temporaneamente inutilizzabili host basati su sistemi operativi Microsoft Windows a causa di lacune presenti all’interno dei servizi SMB.

La criticità è stata individuata da ricercatori indipendenti ed è legata a problematiche di allocazione della memoria all’interno delle routine di gestione del servizio SMBv1 di sistema, attraverso le quali un attaccante di rete non autenticato risulta in grado di degradare le prestazioni dell’host vittima creando disservizi e blocchi macchina. La principale caratteristica di SMBLoris risiede nel limitato ammontare di risorse necessarie a portare a termine attacchi di successo: un server Microsoft Windows con 8GB di RAM afflitto dalla problematica risulta prono a disservizi anche se vittima di singoli attaccanti con ridotta disponibilità di banda. 

Vista la tipologia di problematica, la recente pubblicazione di dettagli tecnici utili a testare la vulnerabilità e la presenza di servizi SMB raggiungibili da internet all’interno del panorama cyber italiano, Yoroi consiglia di verificare l’esposizione internet di eventuali servizi SMBv1 in uso presso le Vostre infrastrutture (porte 445 e 139).

Screenshot from 2017-07-31 14:28:41.png
Figura 1. Principali Organizzazioni Italiane con servizi SMB raggiungibili da internet (dati ShodanHQ)


Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index