Нулевой день Windows 10: PoC вызывает BSOD

Что произошло

Исследователь под псевдонимом PythonResponder опубликовал на GitHub proof-of-concept (PoC) для уязвимости, которая может привести к аварийному завершению работы Windows-клиента с синим экраном смерти (BSOD). Уязвимость связана с обработкой SMB-трафика и затрагивает Windows 7, 8.1, Windows 10 и серверные эквиваленты (Windows Server 2012 R2, 2016).

Carnegie Mellon’s Vulnerability Notes Database выпустила оповещение о данной проблеме, а SANS ISC CTO Johannes Ullrich подтвердил воспроизводимость PoC на полностью обновлённых системах Windows 10.

Исследователь заявил, что сообщил о баге в Microsoft; по его словам, вендор подготовил исправление, но отложил выпуск патча — релиз ожидается в ближайший вторник (официальную дату Microsoft ещё не объявляла).

Как работает уязвимость — кратко

• Класс уязвимости: повреждение памяти при обработке SMB (memory corruption). Определение: ошибка, при которой программа неправильно управляет памятью, что приводит к непредсказуемому поведению.
• Техническая деталь: некорректная обработка структуры ответа SMB2 TREE_CONNECT Response — сервер отправляет специально сформированную структуру с «слишком большим» количеством байтов, нарушающим ожидания клиента.
• Механизм эксплуатации: потенциальный злоумышленник вынуждает уязвимый клиент подключиться к вредоносному SMB-шару. Для этого часто используется фишинговая ссылка, которая инициирует подключение.

Важно: хотя текущий PoC требует взаимодействия пользователя (клик по ссылке), нельзя исключать варианты удалённого использования без взаимодействия в будущем.

Доказательство концепции (PoC) — что именно подтверждено

PoC показывает, что при подключении к вредоносному SMB-серверу уязвимый Windows-клиент может завершить работу в модуле mrxsmb20.sys с BSOD. Тесты включали полностью патченные клиенты Windows 10 и 8.1, а также соответствующие серверные версии.

SANS ISC технически проверил PoC и подтвердил, что даже на патченной Windows 10 воспроизведение возможно. Отчёт с анализом доступен у Johannes Ullrich (ссылка в оригинале у источника).

Риски и возможные последствия

• Массовые перезагрузки и потеря временных данных на рабочих станциях.
• Потеря доступности критических сервисов, если уязвимость сработает на сервере файловых шаров.
• Социальная инженерия: фишинговые рассылки с ссылками на SMB-шары легко масштабируются.

Меры смягчения и рекомендации для пользователей

Для пользователей (неадаптированных к администрированию):

• Не переходите по незнакомым / непроверенным ссылкам, полученным по почте или мессенджерам.
• Не открывайте вложения/ссылки от неизвестных отправителей.
• При подозрениях — отключите сетевое соединение и обратитесь в службу ИТ.

Для системных администраторов и инженеров безопасности:

• Блокируйте исходящие SMB-подключения из локальной сети в WAN: TCP 139, 445 и UDP 137, 138. Это рекомендация CERT/CC; учтите, что блокирование может нарушить доступ к общим файлам и устройствам.
• Ограничьте доступ к SMB-серверам через межсетевые экраны и прокси; разрешайте соединения только с доверенными адресами.
• Отключите клиент SMB v1, если он всё ещё включён (устаревшие реализации увеличивают риск).
• Настройте IDS/IPS для детектирования аномалий в SMB (необычные TREE_CONNECT запросы, длинные полeтры ответа).
• Подготовьте процедуру быстрого развертывания патча от Microsoft и тестирования совместимости.

Important: блокировка портов может повлиять на работу сетевых шар и принтеров; координируйте действия с пользователями.

Шаги реагирования для инцидента (runbook)

1. Изоляция: немедленно изолируйте скомпрометированные/падшие хосты от сети (физическое отключение или запрет по VLAN).
2. Сбор артефактов: снимите дамп памяти, сохраните системные логи (Event Viewer), сетевые логи/pcap для анализа SMB-сессий.
3. Идентификация: определите, какие хосты подключались к подозрительным SMB-ресурсам (по исходящим соединениям на TCP 139/445).
4. Блокировка: добавьте временные правила на фаерволе для блокирования адресов/диапазонов вредоносных серверов.
5. Устранение: примените доступные временные меры (смягчения выше). По выпуску официального патча разверните его по заранее протестированной процедуре.
6. Проверка: выполните тесты восстановления и мониторинга, чтобы убедиться, что уязвимость устранена.
7. Отчётность: задокументируйте инцидент, причины, принятые меры и уроки.

Рекомендации по обнаружению и мониторингу

• Логи событий Windows: следите за событиями, связанными с ошибками драйверов и неожиданными перезапусками.
• Сетевой мониторинг: анализируйте попытки установления SMB-соединений к несанкционированным адресам.
• EDR/AV: используйте средства обнаружения поведенческих аномалий, которые фиксируют неожиданные SMB-операции.
• Создайте правило алёрта при обнаружении нестандартных TREE_CONNECT ответов или соединений с известными тестовыми PoC-адресами.

Когда этот эксплойт не сработает (контрпример)

• Если клиент не допускает исходящих SMB-соединений в WAN (через фаервол).
• Если пользователь не нажимает на фишинговую ссылку и не инициирует подключение к вредоносному шару.
• На системах с дополнительной сетевой фильтрацией, которая модифицирует или обрезает небезопасные SMB-ответы, эксплуатация может стать невозможной.

Критерии приёмки

• Все критические хосты не устанавливают исходящие соединения на порты TCP 139/445 за пределы доверенной сети.
• Патч от Microsoft развернут на 100% задачных систем после тестирования на пилоте.
• Система мониторинга генерирует алерты при попытках нестандартных SMB-сессий.

Контрольный чеклист для ролей

Администратор сети:

• Заблокировать исходящие SMB-порты к WAN.
• Обновить правила межсетевого экрана и прокси.
• Создать временные исключения для необходимых доверенных узлов.

ИТ-операции/HelpDesk:

• Информировать пользователей о фишинговых рисках.
• Подготовить инструкции по изоляции ПК при падении.
• Обновить сценарии восстановления.

Security/IR команда:

• Настроить мониторинг и алерты по SMB.
• Подготовить план развертывания патча и тестов.
• Провести пост-инцидентный разбор.

Краткая сводка

PoC-эксплойт на GitHub подтверждён независимыми экспертами и может вызвать BSOD через уязвимость в обработке SMB. До официального патча рекомендуется блокировать исходящие SMB-соединения, предупредить пользователей и настроить мониторинг. По выпуску официального исправления — немедленно протестировать и развернуть патч.

Notes: следите за официальными обновлениями Microsoft и бюллетенями CERT/CC для получения точной информации о распространении патча.

Короткое объявление для внутренней рассылки (100–200 слов):

Организация, внимание: обнаружена публично опубликованная PoC-уязвимость в обработке SMB, которая может вызвать BSOD на Windows-станциях. Уязвимость подтверждена на Windows 7/8.1/10 и соответствующих серверных версиях. До выхода официального патча просим всех сотрудников строго воздерживаться от перехода по непроверенным ссылкам и вложениям. Сетевой отдел временно блокирует исходящие SMB-порты (TCP 139/445, UDP 137/138) для трафика в WAN; это может повлиять на доступ к общим файлам вне корпоративной сети. Администраторы — выполните изоляцию подозрительных хостов, сохраните логи и подготовьте план развертывания патча. Дополнительные инструкции будут отправлены после получения официального исправления от Microsoft.