Een lek in Server Message Block v2 kan een kernelcrash op Windows 7 en Windows Server 2008 R2 veroorzaken.

Beveiligingsonderzoeker Laurent Gaffié, die eerder al een ander lek in SMB2 ontdekte, heeft een proof of concept Python-script gepubliceerd dat van op afstand een kernelcrash op Windows 7 en Windows Server 2008 R2 veroorzaakt. Niet toevallig komt de publicatie een dag na Patch Tuesday.

Proof of concept

De fout zit in de afhandeling van inkomende NetBIOS-pakketten. De eerste vier bytes van de NetBIOS-header beschrijven de lengte van het pakket, maar het proof of concept script stelt hier een waarde in die vier bytes kleiner is dan de effectieve lengte van het pakket.

Het resultaat: de Windows-machine die deze header ontvangt, blijft hangen in een oneindige lus. Het lek wordt ook getriggerd bij andere verkeerde waarden voor de lengte, zowel kleiner als groter. Het slachtoffer krijgt geen foutmelding te zien, geen Blue Screen of Death; Windows bevriest gewoon. Zelfs na een reboot tonen de logbestanden geen informatie over wat er gebeurd is.

Kwaadaardige code

De crash gebeurt nog vóór de authenticatie, dus de aanvaller heeft geen gebruikersrechten nodig voor deze exploit. Om effectief het lek te triggeren, moet de Windows-machine verbinden met de machine waarop het script draait. Een dir-commando naar een onbestaande share op de computer is hiervoor voldoende. De aanvaller kan zijn slachtoffer hiertoe brengen door een webpagina aan te bieden met een NetBIOS-link naar de host waarop de kwaadaardige code draait.

Aangezien het om het NetBIOS-protocol gaat, is de fout normaal enkel door een aanvaller op het LAN uit te buiten, maar volgens Gaffié kan dat ook van buiten het LAN via Internet Explorer of een broadcasting NBNS (NetBIOS Name Service) truc. Er zijn geen aanwijzingen dat via dit lek code van op afstand kan uitgevoerd worden.

Microsoft op de hoogte

Gaffié heeft Microsoft op 8 november gewaarschuwd voor het lek en in Redmond heeft men dit dezelfde dag nog bevestigd. Microsoft beschouwt het lek als een mogelijke denial-of-service aanval.

Voorlopig is er echter nog geen patch. Deze zou beschikbaar komen in de eerste service pack updates voor Windows 7 en Windows Server 2008 R2.

Bron: Techworld.nl

Update: Kop en lead aangepast.