Dostupný exploit pro 0day zranitelnost v Microsoft Windows

V polovině ledna tohoto roku US CERT vydal upozornění o tom, že Shadow Brokers obchodují se 0day zranitelností v Server Message Block (SMB). Hackeři nabízeli k prodeji 0day exploit za 250 bitcionů.

Společně s tím Shadow Brokers ohlásili prodej velkého počtu Windows exploitů a hackovacích nástrojů ukradených od Equation group.

Otázka zranitelnosti zvýšila naši pozornost díky včerejšímu zveřejnění PoC-kódu k exploitaci zranitelnosti v SMB implementaci v Microsoft Windows na GitHub. Dostupný exploit vyvolává poškození paměti a způsobuje, že zranitelný systém neodpovídá.

Stručná analýza zranitelnosti naznačuje, že kód exploitu bude fungovat v následujících operačních systémech: Windows 8.1, Windows 10, Windows Server 2012, Windows Server 2012 R2 a Windows Server 2016.

Vydali jsme náš vlastní bezpečnostní bulletin k řešení této zranitelnosti SB2017020301.

Zranitelnost spočívá v SMB klientovi při zpracování chybně formátované odpovědi od škodlivého SMB serveru. Uživatelská interakce není nezbytná k exploitaci této zranitelnosti, jelikož existuje mnoho způsobů, jak přimět systém k připojení se ke škodlivému SMB bez vědomí uživatele.

Do současnosti jsme nezaznamenali žádné útoky využívající veřejně známý problém.

Jako řešení doporučujeme blokovat odchozí SMB požadavky na následujících portech:

• 139/tcp
• 445/tcp
• 137/udp
• 138/udp

Budeme aktualizovat náš bulletin, jakmile budeme mít vice informací. Zůstaňte v kontaktu.

By Cybersecurity Help =)