Negli ultimi giorni c'è un gran discutere rispetto ad una vulnerabilità di livello critico nell'SMBv3, che può consentire ad un attaccante di eseguire codice da remoto. Qualche giorno fa Microsoft ha pubblicato una patch di emergenza per risolvere il problema 

Stando alle informazioni pubblicate da Microsoft, parliamo di una vulnerabilità "remote code execution" che risiede nella maniera in cui il protocollo Server Message Block 3.1.1 (SMBv3) gestisce alcune richieste. Un attaccante che dovesse sfruttare con successo questa vulnerabilità otterrebbe la possibilità di eseguire da remoto codice dannoso sul client o server bersaglio. 

Per sfruttare questa vulnerabilità contro un server, un attaccante non autenticato dovrebbe inviare pacchetti appositamente confezionati contro un server SMBv3 bersaglio. Consigliamo ai nostri utenti quindi di disabilitare l'accesso SMB ad indirizzi IP pubblici o sconosciuti sui propri host Microsoft, a meno che non sia strettamente necessario. 

Per sfruttare la vulnerabilità invece contro un client, un attaccante non autorizzato deve configurare un server SMBv3 dannoso e convincere l'utente a connettersi allo stesso. Consigliamo ai nostri utenti di evitare l'accesso a condivisioni SMB non sicure o non verificate o a file hostati su queste condivisioni SMB non sicure,. 

Il punto centrale è il fatto che la possibilità di eseguire codice da remoto senza alcun bisogno di autenticazioni rende questa vulnerabilità molto critica. Da più parti tale vulnerabilità viene confrontata con la vecchia, famigerata vulnerabilità CVE-2017-0144, che fu responsabile dell'impressionante capacità di diffusione del ransomware WannaCry, ma ad ora non si dispongono di sufficienti dati per accertarlo. Microsoft ad esempio ha affermato che questa vulnerabilità non è ancora stata sfruttata in attacchi reali, almeno fino al 12 Marzo 2020. Vi sono alcuni script di scanning, disponibili online, che possono dire se un host sia o meno vulnerabile, ma non sono ancora disponibili a livello pubblico exploit per sfruttarla attivamente (almeno fino alla pubblicazione di questo avviso). 

Tutti i clienti Quick Heal e Seqrite sono protetti da attacchi volessero sfruttare questa vulnerabilità tramite quelle che sono le nostre regole IPS. Invitiamo quindi tutti i nostri utenti, per proteggere i propri host, a mantenere aggiornate le definizioni virus dei prodotti Quick Heal e Seqrite. Oltre ovviamente ad applicare prima possibile le patch ufficiali pubblicate da Microsoft.