Recentemente è stata scoperta una vulnerabilità che colpisce i sistemi Windows Vista e Windows 7. La vulnerabilità è presente nell' implementazione del protocollo SMB2 di Microsoft e può essere sfruttata da remoto mandando in crash o semplicemente riavviando il sistema. Tale vulnerabilità è dovuta essenzialmente ad un errore presente nel file srv2.sys che gestisce sostanzialmente le richieste dei client quando nel campo dell'intestazione del "Processo di High Id" è presente una e commerciale (&). L'attacco non richiede l'autenticazione e sfrutta la porta 445 del sistema targer. L'exploit permette di effetture un reboot del sistema windows vista. Provando l'exploit è stato possibile riavviare da remoto windows Vista. Secondo Laurent Gaffie, che ha scoperto la vulnerabilità, Windows Server 2008 potrebbe anche essere a rischio, in quanto tutti i sistemi usano lo stesso driver SMB2.0. Per quando riguarda Windows 2000 e XP, essi non sono vulnerabili semplicemente perchè non supportano SMB2. Attualmente consiglio di chiudere le porte SMB nelle impostazioni del firewall.
Exploit :
http://trac.metasploit.com/browser/framework3/trunk/modules/exploits/windows/smb/smb2_negotiate_func_index.rb
Exploit :
http://trac.metasploit.com/browser/framework3/trunk/modules/exploits/windows/smb/smb2_negotiate_func_index.rb
Nessun commento:
Posta un commento