SMB Zero-Day, afeta várias versões do Windows, incluindo a versão 10.

O ataque consiste em sobrecarregar o SMB com mensagens, o que resulta em um crash do sistema operacional.

O usuário precisa acessar o compartilhamento com o exploit, o que não quer dizer que seja difícil alguém cair, pois o compartilhamento pode ser feito fazendo passar-se por uma impressora ou diretório público, se tiver algum link na internet que remeta a isso então o risco é grande.

Em ambiente corporativo o risco até pode ser maior, já que é normal ativar compartilhamentos, neste caso se alguma máquina estiver infectada e por ventura algum usuário acessar esse compartilhamento então será efetivado.

Para proteção na internet é necessário ir no firewall (normalmente roteador) e bloquear as portas descritas.

O firewall do windows também bloqueia, e por sinal, jamais deve estar desativado, caso queira proteção específica é possível ir em configurações avançadas e bloquear as portas TCP 139 e 445 e UDP 137 e 138.

Uma macro pode ser usada em arquivos, ou enfim, qualquer tipo de programa que acesse um diretório poderá ser usado pra ludibriar o usuário.

Imagine em serviços onde acessam compartilhamento automaticamente.

Para o teste foi usado um VDI com Windows 10 e Kali para simular um servidor malicioso. Arquivo para a prova de conceito: https://github.com/lgandx/PoC/blob/master/SMBv3%20Tree%20Connect/Win10.py

SMB - Zero Day

SMB – Zero Day

Prova de Conceito - SMB Zero-Day, afeta várias versões do Windows, incluindo a versão 10.