A vulnerabilidade foi divulgada publicamente antes de ser corrigida e os pesquisadores ainda estão debatendo seu impacto.
A implementação do protocolo de compartilhamento de arquivos de rede SMB no Windows tem uma vulnerabilidade séria que poderia permitir que hackers, no mínimo, bloqueassem sistemas remotamente.
A vulnerabilidade ainda sem correção foi divulgada publicamente quinta-feira (26/01/2017) por um pesquisador de segurança independente chamado Laurent Gaffié, que alega que a Microsoft adiou a liberação de um patch para a falha nos últimos três meses.
Gaffié, que é conhecido no Twitter como PythonResponder, publicou um exploit de prova de conceito para a vulnerabilidade no GitHub, desencadeando um aviso do Centro de Coordenação CERT (CERT / CC) na Carnegie Mellon University.
"O Microsoft Windows contém um bug de corrupção de memória no tratamento do tráfego SMB, que pode permitir que um invasor remoto não autenticado cause uma negação de serviço ou potencialmente execute código arbitrário em um sistema vulnerável", disse o CERT / CC no comunicado.
A implementação do protocolo SMB (Server Message Block) da Microsoft é usada por computadores Windows para compartilhar arquivos e impressoras em uma rede e também lida com a autenticação desses recursos compartilhados.
Leia também: Vantagens da terceirização de TI para as empresas.
A vulnerabilidade afeta o Microsoft SMB versão 3, a versão mais recente do protocolo. O CERT / CC confirmou que o exploit pode ser usado para travar versões totalmente remendadas do Windows 10 e Windows 8.1.
Um invasor pode explorar a vulnerabilidade enganando um sistema Windows para se conectar a um servidor SMB malicioso que, em seguida, envia respostas especialmente criadas. Há uma série de técnicas para forçar tais conexões SMB e alguns requerem pouca ou nenhuma interação do usuário, avisou CERT / CC.
A boa notícia é que não há relatórios confirmados de execução de código arbitrário bem-sucedida por meio dessa vulnerabilidade ainda. No entanto, se este for um problema de corrupção de memória como descrito pelo CERT / CC, execução de código pode ser uma possibilidade.
"As falhas que observamos até agora não se manifestam de uma forma que sugere a execução direta do código, mas que pode mudar, embora, como temos tempo para analisá-lo mais em profundidade", disse Carsten Eiram, o chefe de pesquisa Oficial da empresa de inteligência de vulnerabilidade Risk Based Security, via e-mail. "Esta é apenas a fase inicial da análise."
A empresa de Carsten também confirmou o acidente em um sistema Windows 10 totalmente remendado, mas ainda tem que estabelecer se isso é apenas um crash de destruição de ponteiro NULL ou o resultado de um problema mais profundo que poderia ter um impacto mais grave. Só para estar no lado seguro, a empresa está seguindo CERED / CC's lede no tratamento desta como uma potencial falha de execução de código. O CERT / CC marcou o impacto desta vulnerabilidade com 10, o máximo no Sistema de Pontuação de Vulnerabilidade Comum (CVSS).
Gaffié disse no Twitter que a Microsoft planeja corrigir esse problema durante a próxima "Patch Tuesday", que este mês vai cair em 14 de fevereiro - segunda terça-feira do mês. No entanto, é possível que a Microsoft possa sair do seu ciclo de correção regular se a vulnerabilidade for realmente crítica e começar a ser explorada na natureza.
A Microsoft não respondeu imediatamente a um pedido de comentário.
Tanto o CERT / CC quanto o Eiram aconselham os administradores de rede a bloquear as conexões SMB de saída - portas TCP 139 e 445, juntamente com as portas UDP 137 e 138 - de redes locais para a Internet. Isso não eliminará completamente a ameaça, mas irá isola-la das redes locais.