Microsoft no soluciona el bug SMBv1 SMB loris
Microsoft ha anunciado que el bug SMBv1 SMBloris descrito en DEF CON no será parcheado, ya que podría ser solucionado bloqueando las conexiones entrantes
La explotación es un ataque de denegación de servicio (DoS) que afectan a todas las versiones del protocolo SMB y cada versión de Windows que se remonta a Windows 2000. ” Como la mayoría de los ataques de denegación de servicio, el sistema de destino es abrumado por múltiples solicitudes de prestación de servicios que no esté disponible. La mayoría de los sistemas modernos requieren la coordinación de un número masivo de sistemas que atacan a abrumar al objetivo, se refiere como un Distributed Denial of Service (DDoS).
Sin embargo, los defectos descubiertos en el servicio SMB de Windows son fácilmente explotados por un único equipo, de baja potencia.
Microsoft ha anunciado que el bug SMBv1 descrito en DEF CON no será parcheado, ya que podría ser solucionado simplemente bloqueando las conexiones procedentes de Internet.
“La razón por la que dicen que es un problema moderado es debido a que no es necesario abrir muchas conexiones con el servidor, pero que podría hacerlo todo desde una sola máquina, y una Frambuesa Pi podría acabar con el servidor beefiest”. explicó investigadores RiskSense Sean Dillon.
El SMBloris es un error de manipulación de memoria que podría ser explotada por atacantes para cerrar grandes servidores web con las computadoras pequeñas.
Por supuesto, los atacantes pueden desencadenar la SMBloris sólo si el equipo de destino tiene SMBv1 expuestos a Internet, es por eso que Microsoft argumentó que es sólo un problema de configuración.
NBSS es el protocolo NetBIOS servicio de sesión, cada conexión a la que asigna 128 KB de memoria que se libera cuando se cierra la conexión. La conexión se cierra después de 30 segundos si no se realiza ninguna actividad.
Con 65.535 puertos TCP disponibles los atacantes pueden llenar más de 8 GB, la alimentación de ataque DDoS en IPv4 e IPv6 es posible llegar a 16 GB. El volumen se podría duplicar (32 GB) usando dos IPs, pueden llenar 32 GB.
El ataque provoca la saturación de la memoria para NBSS y es necesario reiniciar el servidor con el fin de restablecer un funcionamiento normal.