hit counter
Note sulla vulnerabilità pubblica relativa al servizio Windows Browser - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Note sulla vulnerabilità pubblica relativa al servizio Windows Browser

Note sulla vulnerabilità pubblica relativa al servizio Windows Browser

  • Comments 2
  • Likes

[English readers: you can find English links in this post for your convenience]

Vi riporto i due post in cui si forniscono alcuni dettagli in merito alla vulnerabilità resa pubblica in questi giorni, relativa al servizio Windows Browser (… era una vita che non sentivo nominare questo servizio!) e che interessa tutte le versioni di Windows:

Security Research & Defense > Notes on exploitability of the recent Windows BROWSER protocol issue

Microsoft Malware Protection Center > My Sweet Valentine - the CIFS Browser Protocol Heap Corruption Vulnerability

Allo stato attuale delle analisi emerge che l’effetto della vulnerabilità è più propriamente un Denial of Service (DoS) che un Remote Code Execution (RCE), limitando così il livello di rischio.

Naturalmente non si mancherà di aggiornarvi con nuovi dettagli non appena saranno disponibili.

Aggiornamento del 18/02/2011: a fronte della legittima domanda di un lettore, trovo utile sottolineare un aspetto già indicato nel post SRD: questa vulnerabilità, coinvolgendo il protocollo Browser, di fatto interessa più probabilmente il Primary Domain Controller di un dominio, in un ambito di rete aziendale; i PC degli utenti finali non sono a rischio se adeguatamente schermati nella connessione ad Internet da un Firewall in cui, come mi auguro Winking smile, non sono state aperte esplicitamente le porte di tali protocolli.

Feliciano

Other related posts/resources:

Comments
  • Ciao Feliciano,

    La cosa che mi lascia perplesso è che sembra che il DoS sia particolarmente critico sui server. Ma quale workaround è possibile implementare? Ho letto i due articoli ma non mi sembra che si faccia cenno ad alcun workaround!

  • Ciao robboboot,

    hai ragione, i due post non forniscono un workaround specifico: immagino che verrà fornito non appena si avrà modo di verificare le diverse possibilità di attacco e gli impatti applicativi dei possibili workaround. Magari basta semplicemente disabilitare il servizio Windows Browser, e questo avrebbe un impatto minimo/nullo (è un protocollo legacy, che si utilizzava su NetBIOS per aiutare a trovare i PC su una rete locale): se invece il problema fosse legato di più al protocollo SMB su cui il protocollo BROWSER si appoggia, non si potrebbe proporre di disabilitare il protocollo SMB perché questo è un protocollo vitale per i sistemi Windows in una rete aziendale, alla base di tutta la comunicazione tra i client e i server di dominio, e per il file sharing. In ogni caso questo protocollo NON dovrebbe essere raggiungibile da Internet, secondo best practice, quindi al limite si tratta di attacchi DoS operati da interni, quindi un rischio limitato e circoscritto.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment