2 ago. 2017

SMBloris: ataque DoS a través de otra vulnerabilidad en SMB

Microsoft ha dicho que (por ahora) no corregirá una nueva vulnerabilidad en SMB, que permitiría a un atacante apagar de forma remota un servidor Windows con relativa facilidad y usando sólo 20 líneas de código Python y Raspberry Pi.

La vulnerabilidad reside en la forma en que se procesan los paquetes SMB y se asigna memoria y afecta a todas las versiones del protocolo SMB desde Windows 2000. La vulnerabilidad reside en la forma en que se procesan los paquetes SMB y se asigna memoria.Probablemente se introdujo en el sistema operativo mucho antes, dijo Sean Dillon (zerosum0x0), investigador senior de seguridad de RiskSense. Dillon, que llevó a cabo su investigación con su colega Zach Harding, llamó el ataque SMBloris porque es comparable a Slowloris, un ataque de 2009 desarrollado por Robert Hansen.

"Similar a Slowloris, SMBloris requiere abrir muchas conexiones al servidor, pero estas son conexiones de bajo costo para el atacante, por lo que una sola máquina es capaz de realizar el ataque", dijo Dillon.

Dillon fue uno de los primeros investigadores en analizar EternalBlue, que se utilizó para difundir el ataque de ransomware de WannaCry. Fue durante ese análisis que Dillon descubrió este nuevo error.

"Mientras trabajábamos en EternalBlue, observamos un patrón en la forma en que se realizan las asignaciones de memoria en el paginado del kernel de Windows. El non-paged pool es una memoria que debe reservarse en la RAM física y no puede ser cambiado. Nos dimos cuenta que se puede agotar este pool, incluso en servidores muy robustas, incluso con 128 GB de memoria".

El problema fue reportado en privado a Microsoft a principios de junio cuando el análisis de EternalBlue fue completado, dijo Dillon. Microsoft dijo a los investigadores que dos equipos de seguridad internos concluyeron que la vulnerabilidad era un problema moderado y que no se trasladarían a la rama de seguridad. La charla de DEFCON fue 60 días después de que el informe inicial fuera enviado a Microsoft y 45 días después de que la respuesta de Microsoft.
El ataque es capaz de asignar toda la memoria, hasta el punto en que ni siquiera aparece una pantalla azul, dijo Dillon. "El caso no ofrece serias implicaciones de seguridad y no planeamos abordarlo con una actualización de seguridad", dijo un portavoz de Microsoft a Threatpost. "Para los clientes empresariales que puedan estar preocupados, recomendamos que consideren bloquear el acceso desde Internet a SMBv1".

Técnicamente hablando, podemos decir que el problema se produce con la acumulación de un búfer de 4 bytes llamado NBSS que se utiliza durante el establecimiento de la sesión SMB y que se asigna en la memoria RAM física y no se pueden intercambiar. Al activar esto, un atacante que inicie una gran cantidad de conexiones al servicio será capaz de agotar los recursos de memoria y después la CPU en el servidor objetivo.

Video: https://youtu.be/Y77er0gzQqA

Fuentes:

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!