Вредоносный код, использующий уязвимость безопасности нулевого дня Microsoft Windows Server, вырвался на волю, т.к. компания не выпустила исправление, несмотря на предупреждение, поступившее 3 месяца назад, пишет Computing.
Контрольно-проверочный код эксплойта, получившего название Win10.py, был выпущен на Github шесть дней назад исследователем по проблемам безопасности Лорентом Гаффи.
Согласно CERT США (Группа реагирования на критические ситуации в компьютерных сетях), уязвимость представляет собой "нарушение целостности информации в оперативной памяти при обработке SMB-трафика, которое позволяет удаленному незарегистрированному злоумышленнику вызвать отказ в обслуживании на уязвимой системе".
Microsoft Windows не в состоянии надлежащим образом обезопасить трафик от вредоносного сервера. В частности, Windows не может правильно обращаться со специально созданным ответом сервера, который содержит слишком много байтов в соответствии со структурой, определенной в SMB2 TREE_CONNECT Response.
CERT рекомендует блокировать исходящие SMB-подключения — TCP-порты 139 и 445, вместе с UDP-портами 137 и 138 — от локальной к глобальной сети.
Несмотря на публикацию контрольно-проверочного кода на прошлой неделе, Microsoft до сих пор не выпустила исправление и не сообщила, когда оно будет готово.