Peneliti keamanan kali ini mengungkap kerentanan kritis baru yang memengaruhi protokol Server Message Block (SMB) Windows. Dijuluki “SMBleed” (CVE-2020-1206) oleh perusahaan keamanan ZecOps, kerentanan berada di fungsi dekompresi SMB, sama dengan SMBGhost atau EternalDarkness (CVE-2020-0796).
Kerentanan ini memungkinkan penyerang membocorkan memori kernel dari jarak jauh, dan ketika dikombinasikan dengan bug “wormable” yang telah diungkapkan sebelumnya, kerentanan dapat dieksploitasi untuk mencapai serangan remote-code-execution.
Kerentanan yang baru ditemukan ini memengaruhi Windows 10 versi 1903 dan 1909.
SMB, yang berjalan melalui port TCP 445, adalah protokol jaringan yang menyediakan dasar untuk berbagi file, penelusuran jaringan, layanan pencetakan, dan komunikasi antarproses melalui jaringan.
Menurut para peneliti ZecOps, kerentanan berasal dari cara fungsi dekompresi yang bersangkutan (“Srv2DecompressData”) menangani permintaan pesan yang dibuat secara khusus (misalnya, SMB2 WRITE) dikirim ke Server SMBv3 yang ditargetkan, memungkinkan penyerang untuk membaca memori kernel yang tidak diinisialisasi dan membuat modifikasi ke fungsi kompresi.
“Struktur pesan berisi bidang-bidang seperti jumlah byte yang akan ditulis dan ditandai, diikuti oleh penyangga variable-length,” kata para peneliti. “Itu sempurna untuk mengeksploitasi bug karena kita dapat membuat pesan sedemikian rupa sehingga kita menentukan header, tetapi buffer variable-length berisi data yang tidak diinisialisasi.”
“Untuk mengeksploitasi kerentanan terhadap server, penyerang tidak terotentikasi dapat mengirim paket yang dibuat khusus ke server SMBv3 yang ditargetkan,” kata Microsoft dalam advisory-nya.
“Untuk mengeksploitasi kerentanan terhadap klien, penyerang tidak terotentikasi perlu mengonfigurasi server SMBv3 berbahaya dan meyakinkan pengguna untuk terhubung,” tambah Microsoft.
Yang lebih buruknya, SMBleed dapat dikombinasikan dengan SMBGhost pada sistem Windows 10 yang rentan untuk mencapai remote-code-execution. ZecOps juga telah merilis kode eksploitasi kerentanan.
Untuk mitigasi kerentanan, disarankan agar pengguna menginstal pembaruan Windows terbaru sesegera mungkin.
Untuk sistem di mana perbaikan tidak berlaku, disarankan memblokir port 445 untuk mencegah pergerakan lateral dan eksploitasi jarak jauh.
Panduan keamanan Microsoft untuk menangani SMBleed dan SMBGhost di Windows 10 versi 1909, 1903 dan Server Core untuk versi yang sama dapat ditemukan di sini dan di sini.
