Microsoft ble den 2. juni i år varslet om en sårbarhet i selskapets implementeringer av alle versjoner av nettverksprotokollen SMB (Server Message Block). Sårbarheten skal har eksistert i mer enn 20 år og berører alle nyere versjoner av Windows, men også Samba-programvaren, som gir blant annet Linux-maskiner støtte for SMB. SMB brukes blant annet til å dele filområder og skrivere på tvers av nettverk, fortrinnsvis lokalnett.
Sårbarheten, som kalles for SMBLoris, gjør det mulig å utføre tjenestenektangrep (DoS) mot datamaskiner med SMB-støtte, uten at angriperen behøver å være en autentisert bruker.
Samme port som WannaCry
Angrepet kan i alle fall utføres via port 445, den samme porten som WannaCry-skadevaren utnyttet. Det viste seg da at det er mange som har denne nettverksporten eksponert mot internett. Hos andre må angriperen først få tilgang til offerets lokalnett.
Ifølge sikkerhetsforskerne som har oppdaget sårbarheten, Sean Dillon og Jenna Magius hos selskapet RiskSense, kreves det bare grunnleggende nettverkskunnskaper for å utføre angrepet.
Penetrasjonstester: – Slik kan Windows-maskiner angripes og beskyttes (Digi Ekstra)
Enormt ressurskrevende
Sårbarheten gjør det mulig for en angriper å sende en mengde forespørsler som krever lite av klientmaskinen, men som fører til at det allokeres store mengder minne på målmaskinen, i tillegg det som omtales som enorme mengder med bortkastede CPU-sykluser.
Dette kan føre til at målmaskinen blir ute av stand til å utføre sine vanlige oppgaver, for eksempel servertjenester som epost, database og web. I verste fall kan angrepet få systemet til å krasje.
I videoen nedenfor, hvor angrepet demonstreres, ser man at minnebruken til maskinen som angripes stiger kraftig. Samtidig ser man at maskinen etter hvert ikke lenger greier å svare på ping-spørringer.
_logo.svg.png){kind=logo}
Flere detaljer om sårbarheten finnes på denne siden.
Avvist av Microsoft
Ifølge sikkerhetsforskerne skal to ulike team hos Microsoft ha vurdert sårbarheten. Men begge skal ha kommet til at den ikke er alvorlig nok til at den vil bli fjernet gjennom en sikkerhetsoppdatering. Selskapet skal i stedet ha opplyst at problemet vil bli rettet i en framtidig utgave av Windows.
Sårbarheten skal være oppkalt etter Slowloris, en tilsvarende type DoS-angrep som kunne rettes mot flere ulike typer webservere. Dette ble første gang demonstrert i 2009.
Mulige tiltak
Administratorer av datamaskiner med Samba kan forhindre denne typen angrep ved å legge til følgende linje i smb.conf-filen.
max smbd processes = 1000
Det vil begrense hvor mange prosesser smb-daemonen vil kunne kjøre på en gang.
Administratorer av Windows-maskiner kan hindre angrep ved å blokke SMB-tjenesten ved hjelp av en brannmur, enten på systemet selv eller eksternt. Eventuelt kan man begrense hvor mange SMB-forbindelser en enkel IP-adresse kan ha åpen til enhver tid.
Sikkerhetsforskerne skal ha demonstrert angrepet for publikum under Def Con-konferansen som ble arrangert i Las Vegas i slutten av juli.
Ifølge Bleeping Computer har sikkerhetsforskeren Hector Martin utgitt et konseptbevis på et angrepsverktøy som kan utnytte SMBLoris. Koden er tilgjengelig her og her. Den skal gjøre det mulig å få en helt oppdatert Windows 10 Pro-maskin med 8 gigabyte RAM til å knele på mindre enn 10 sekunder.
Leste du denne? Skal allerede ha infisert titusenvis av datamaskiner med lekket NSA-skadevare
