Redazione RHC : 16 Settembre 2025 11:30
Un ricercatore di sicurezza ha recentemente sviluppato un exploit 0-click per il demone kernel SMB3 di Linux (ksmbd), sfruttando due vulnerabilità specifiche. Questo exploit consente l’esecuzione di codice remoto (RCE) in modalità kernel senza alcuna interazione da parte dell’utente, rappresentando una minaccia significativa per i sistemi vulnerabili.
Il primo bug, identificato come CVE-2023-52440, riguarda un overflow SLUB nel metodo ksmbd_decode_ntlmssp_auth_blob(). Questo errore si verifica durante l’autenticazione NTLM, quando la lunghezza della chiave di sessione (sess_key_len) è controllata dall’utente.
Impostando un valore eccessivo per questa lunghezza, è possibile sovrascrivere porzioni di memoria adiacenti, consentendo l’esecuzione di codice arbitrario. L’exploit è stato testato su una versione 6.1.45 di Linux, con tutte le mitigazioni standard attive, come SMAP, SMEP, KPTI, KASLR e altre.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il secondo bug, CVE-2023-4130, è una vulnerabilità di lettura fuori dai limiti (OOB read) nel metodo smb2_set_ea(). Questa falla consente a un utente autenticato di leggere dati sensibili dalla memoria kernel, sfruttando la gestione errata degli attributi estesi (xattr) nei file condivisi tramite SMB3. La combinazione di queste due vulnerabilità permette di ottenere un controllo completo sul sistema bersaglio.
L’exploit sviluppato utilizza una tecnica di “heap spraying” per manipolare la memoria heap, creando condizioni favorevoli per l’esecuzione del codice maligno. Una volta ottenuto l’accesso alla memoria kernel, viene eseguita una catena di ritorno (ROP) per eseguire un reverse shell, ottenendo così il controllo remoto del sistema. Questo processo avviene senza alcuna interazione da parte dell’utente, rendendo l’attacco particolarmente insidioso.
Il ricercatore ha testato l’exploit su un sistema con un singolo core x86_64, ma ha osservato che su sistemi multi-core l’affidabilità dell’exploit diminuisce a causa della gestione per CPU delle allocazioni di memoria. Inoltre, l’exploit può causare instabilità nel sistema bersaglio, richiedendo interventi per ripristinare la stabilità dopo l’esecuzione dell’attacco.
Per mitigare questa vulnerabilità, è consigliabile aggiornare il sistema alla versione più recente del kernel Linux, in quanto le versioni successive alla 6.1.45 hanno corretto entrambe le vulnerabilità. Inoltre, è importante configurare correttamente i permessi di accesso alle condivisioni SMB, limitando l’accesso in scrittura solo agli utenti autorizzati. Disabilitare l’esposizione di ksmbd su Internet e monitorare attivamente le attività sospette possono contribuire a ridurre il rischio di sfruttamento di questa vulnerabilità.
Questo caso evidenzia l’importanza di mantenere aggiornati i sistemi e di applicare le best practice di sicurezza per prevenire attacchi sofisticati come questo. La comunità di ricerca sulla sicurezza continua a monitorare e analizzare tali vulnerabilità per migliorare la protezione dei sistemi informatici.
RedazioneA cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
