20-letnia luka w protokole SMB v1, v2 i v3, której Microsoft nie załata

4 sierpnia, 2017

Co tu dużo mówić. Microsoft pojechał po całości i twierdzi, że nie załata zaprezentowanej luki podczas konferencji Defcon, ponieważ dotyczy ona bezpośrednio portu 445, dla którego połączenia przychodzące powinno zostać zablokowane. Według Microsoftu to wystarczy, aby rozwiązać problem. Odmienne zdanie ma Hector Martin „marcan”. Badacz opublikował krótkie PoC i twierdzi, że pomimo wyłączenia wszystkich wersji protokołu SMB, Windows 10 ciągle jest podatny na atak rozszerzonej odmowy dostępu do usługi (DDoS).

Luka zyskała nawet własną nazwę – SMBLoris. Jest to atak typu DDoS, który może być uruchomiony od Windows 2000 do Windows 10, nawet wówczas, kiedy wszystkie wersje protokołów SMB są wyłączone. Podatny jest także Linux ze swoją Sambą oraz protokół NetBIOS na porcie 139. W przypadku Linuksa wystarczy ograniczyć ilość użytkowników łączących się z serwerem w jednym czasie np. do 1000. Można to zrobić edytując plik konfiguracyjny w /etc/samba/smb.conf (ilość użytkowników jaką może obsłużyć serwer w jedynym czasie ograniczona jest przez pamięć RAM):

max smbd processes = 1000

Na czym polega atak?

Standardowo NetBIOS Session Service alokuje dla każdego połączenia TCP 128 KB pamięci, która zwalniania jest dopiero po jego zakończeniu lub po 30 sekundach, jeśli nie wykonano żadnego polecenia. Jeśli w momencie nawiązywania połączenia klienta z serwerem wykorzystamy 65535 portów dla IPv4, to możliwe jest zarezerwowanie do 8GB RAM pamięci operacyjnej. Jeśli wykorzystamy IPv4 oraz IPv6, to możliwe jest zarezerwowanie do 16GB pamięci przy wykorzystaniu wszystkich dostępnych portów (131 070). Jeżeli wykorzystamy 10 adresów IPv4 w jednym czasie, to możemy zarezerwować 655 535 portów oraz do 80GB RAM pamięci.

Scenario Socket Attack Cost Memory Impact
Baseline 1 4B 128KB
Single IPv4 65 535 256KB 8GB
Single IPv6 65 535 256KB 8GB
Dual IPv4 & IPv6 131 070 512KB 16GB
10 IPs 655 535 2.5MB 80GB

Atak rozproszonej odmowy dostępu do usługi (DDoS) czyni podatną maszynę całkowicie bezużyteczną. Microsoft nie udostępni łatki. Zamiast tego proponuje administratorom zablokowanie połączeń przychodzących dla portu 445. Na razie nie przygotowano żadnego exploita, który dałby atakującym możliwość zdalnego wykonania kodu.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]