La vulnerabilidad afecta a todas las versiones del protocolo SMB y cada versión de Windows que data de Windows 2000. Probablemente se introdujo en el sistema operativo mucho antes, dijo Sean Dillon, investigador senior de seguridad de RiskSense. Dillon, que llevó a cabo su investigación con su colega Zach Harding, llamó el ataque SMBloris porque es comparable a Slowloris , un ataque de 2009 desarrollado por Robert Hansen . Ambos ataques pueden usar una sola máquina para bloquear o bloquear un servidor mucho más potente, pero Slowloris, a diferencia de SMBloris, se dirige a los servidores web.

"Similar a Slowloris, requiere abrir muchas conexiones al servidor, pero estas son conexiones de bajo costo para el atacante, por lo que una sola máquina es capaz de realizar el ataque", dijo Dillon.

Dillon fue uno de los primeros investigadores en analizar EternalBlue, la explotación de NSA SMB que se utilizó para difundir el ataque de ransomware de WannaCry y el malware de limpiaparabrisas de ExPetr. Fue durante ese análisis que Dillon descubrió esta cuestión.

"Mientras trabajábamos en EternalBlue, observamos un patrón en la forma en que las asignaciones de memoria se hicieron en el conjunto no paginado del kernel de Windows. El grupo no paginado es una memoria que debe reservarse en la RAM física; No puede ser cambiado ", explicó Dillon. "Esa es la piscina más preciada de la memoria en el sistema. Nos dimos cuenta de cómo agotar esa piscina, incluso en servidores que son muy robustas, incluso 128 GB de memoria. Podemos quitarlo con un Pi de frambuesa.

El problema fue reportado en privado a Microsoft a principios de junio cuando el análisis de EternalBlue fue completado, dijo Dillon. Microsoft dijo a los investigadores que dos equipos de seguridad internos concluyeron que la vulnerabilidad era un problema moderado y que no se trasladarían a la rama de seguridad, y probablemente nunca lo arreglaran. La conversación de DEF CON del sábado será de 60 días después de que el informe inicial fue enviado a Microsoft y 45 días después de que la respuesta de Microsoft fuera transmitida.

"El caso no ofrece serias implicaciones de seguridad y no planeamos abordarlo con una actualización de seguridad", dijo un portavoz de Microsoft a Threatpost. "Para los clientes empresariales que puedan estar preocupados, les recomendamos que consideren bloquear el acceso desde Internet a SMBv1".

"La razón por la que dicen que es un problema moderado es porque requiere una gran cantidad de conexiones al servidor, pero se puede hacer todo desde una sola máquina y un Raspberry Pi podría derribar el servidor más robusto", dijo Dillon.

La vulnerabilidad reside en la forma en que se procesan los paquetes SMB y se asigna memoria. Dillon y Harding dijeron que encontraron una manera de aprovechar ese sistema de asignación para estrellar un servidor.

"Amplificará ataques ya existentes como ataques DDoS", dijo Dillon. "¿Por qué DDoS cuando se puede DoS desde una sola máquina. No necesitas una botnet para eliminar un servidor Windows. "

El ataque es capaz de asignar toda la memoria de un servidor tiene disponible, hasta el punto en que ni siquiera la pantalla azul, dijo Dillon. El sistema operativo se bloquea cuando se ve a través de largas listas de memoria en busca de memoria no asignada, lo que provoca que la CPU aumente.

"Usted obtiene servicios críticos para bloquear y puede congelar completamente el sistema", dijo Dillon. "También hay un montón de problemas de integridad porque cuando se tiene toda la memoria de grupo no paginada ya asignada, ciertos derechos de disco, incluso el registro no puede tener lugar porque no hay memoria. Uno de los problemas que hemos encontrado es que hemos agotado completamente el sistema y lo hemos congelado; Una de las razones por las que no es de pantalla azul es porque no tiene suficientes recursos necesarios para la pantalla azul. Se congelará y nunca volverá. "

Dillon dijo que él y Harding compartirán algunos detalles técnicos adicionales durante su charla y demostrarán el ataque.

"Realmente es un ataque tan simple; Creo que mucha de la gente allí será capaz de captar lo que está pasando ", dijo Dillon.

En cuanto a una solución, Dillon cree que no sería una tarea sencilla para Microsoft.

"Creo que el problema es que no es la solución más fácil; Es la forma en que han hecho la asignación de memoria SMB durante más de 20 años. Así que todo se basa en el hecho de que el cliente dice: "Tengo un buffer que estoy enviando que es tan grande". El servidor reserva esa cantidad de memoria para poder manejarla ", dijo Dillon. "Lo que hicimos nos dice que tengo un buffer enorme y nunca enviar el buffer. Todavía hay muchos componentes que se basan en el hecho de que el buffer ya está asignado y el tamaño ya se conoce. "

Dillon dijo que una mitigación puede ser aplicada a través de dispositivos en línea, incluyendo firewalls, limitando el número de conexiones activas desde una única dirección IP a puertos SMB.

Irónicamente, la única razón por la que Dillon y Harding encontraron el error fue porque esta información crítica utilizada en la preparación de la piscina para EternalBlue.

"Tienes que hacer esas asignaciones", dijo Dillon. "Así que en realidad, si este comportamiento no era el que era, el aseo de la piscina en EternalBlue no sería el mismo y el exploit podría no funcionar en absoluto".