Redazione RHC : 7 Luglio 2025 14:28
Gli esperti hanno identificato gravi vulnerabilità in SMBClient per macOS che interessano sia lo spazio utente che il kernel del sistema operativo. Queste vulnerabilità consentono potenzialmente l’esecuzione remota di codice arbitrario e l’interruzione di processi di sistema critici. Durante l’analisi, è emerso chiaramente che un’ampia gamma di utenti è a rischio, dato che a partire da macOS Big Sur, il protocollo SMB è diventato il metodo preferito per organizzare la condivisione di file in rete.
SMBClient è un insieme di componenti, che include sia processi utente che driver del kernel, progettati per funzionare con file system accessibili tramite risorse di rete. Una parte significativa del codice client SMB interagisce direttamente con il kernel del sistema, il che apre ulteriori vettori di attacco. Inoltre, è possibile sfruttare le vulnerabilità con un intervento minimo dell’utente: è sufficiente costringere una persona a seguire un collegamento appositamente predisposto del tipo smb://.
La prima delle vulnerabilità scoperte è il CVE-2025-24269 (punteggio CVSS: 9,8) ed è correlata al componente smbfs.kext, il driver del kernel macOS per l’utilizzo di SMB. Il problema risiede nella funzione di elaborazione dei dati compressi smb2_rq_decompress_read, dove in alcuni casi la lunghezza dei dati in ingresso viene verificata in modo errato. Se viene utilizzato uno degli algoritmi di compressione supportati – LZNT1, LZ77 o LZ77_Huffman – il campo speciale compress_len viene letto dal pacchetto di rete, ma il suo valore non viene convalidato in alcun modo prima di copiare i dati nel buffer compress_startp. Allo stesso tempo, la macro SMB_MALLOC_DATA, utilizzata per allocare la memoria, consente a un aggressore di controllare la dimensione del blocco allocato, che può raggiungere fino a 16 megabyte.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Di conseguenza, si verifica un overflow di memoria dinamica all’interno dell’heap dati xnu, un’area della memoria del kernel in cui la presenza di puntatori di controllo è limitata da meccanismi di protezione aggiuntivi, ma è impossibile escludere completamente la possibilità di sfruttare tale difetto. Gli esperti sottolineano che, per un attacco riuscito, è sufficiente convincere l’utente a cliccare su un collegamento smb:// dannoso, che consentirà all’attaccante di avviare l’interazione con il server vulnerabile e attivare la trasmissione di pacchetti appositamente preparati.
La seconda vulnerabilità, identificata come CVE-2025-24235 (punteggio CVSS: 5,5), riguarda la libreria Kerberos Helper utilizzata per stabilire una sessione SMB. Qui è stato rilevato un classico errore di sicurezza: la liberazione di una variabile di stack non inizializzata. Durante l’analisi dei token di autenticazione nella funzione _KRBDecodeNegTokenInit, potrebbe verificarsi una situazione in cui la chiamata interna a _gss_decapsulate_token fallisce. Tuttavia, anche in questo caso, il controllo viene trasferito al blocco di rilascio della memoria, dove la funzione _free_NegotiationToken opera con un’area di stack non inizializzata.
Un’analisi più approfondita ha mostrato che il processo di liberazione della memoria richiama la funzione _asn1_free della libreria Heimdal, progettata per analizzare e cancellare le strutture ASN.1. Poiché la struttura da liberare non è stata inizializzata, sussiste il rischio di un accesso incontrollato alla memoria, che potrebbe potenzialmente portare all’esecuzione di codice arbitrario sul dispositivo della vittima. Per un attacco riuscito, è sufficiente utilizzare meccanismi di connessione standard, ad esempio seguendo un collegamento smb:// o montando una risorsa tramite mount_smbfs.
La terza vulnerabilità, sebbene non abbia ricevuto un identificativo CVE ufficiale, è comunque considerata critica. È correlata a un’implementazione errata del meccanismo di registrazione del processo mc_notifier nel modulo smbfs. Questo servizio è responsabile delle notifiche quando le risorse di rete vengono smontate. Un utente con qualsiasi livello di privilegio può registrare un identificativo di processo arbitrario utilizzando la richiesta ioctl SMBIOC_UPDATE_NOTIFIER_PID. Se la risorsa viene quindi smontata, il kernel di sistema invierà al processo registrato un segnale SIGTERM, ovvero la terminazione standard.
Il problema è che il kernel non verifica i permessi del processo chiamante né la correttezza dell’identificatore specificato. Ciò consente a un aggressore di terminare quasi tutti i processi del sistema, incluso il processo critico launchd, responsabile dell’avvio e della gestione di tutti i servizi utente e di sistema. Di conseguenza, il sistema si trova in uno stato inoperativo e richiede un riavvio. Allo stesso tempo, per sfruttare questa vulnerabilità, è sufficiente avere accesso al dispositivo e la possibilità di aprire il dispositivo /dev/nsmb, operazione possibile nella maggior parte degli scenari anche senza uscire dall’isolamento utente (sandbox).
Apple ha già risolto tutte e tre le vulnerabilità. In particolare, è stato aggiunto un controllo della lunghezza del blocco di dati compressi alla funzione di elaborazione dei pacchetti SMB per prevenire la possibilità di un overflow di memoria. Inoltre, la libreria Kerberos Helper ora pulisce preventivamente la struttura NegotiationToken prima di utilizzarla e liberarla, impedendo così lo sfruttamento del difetto. Per il meccanismo di registrazione mc_notifier, è stato implementato un controllo dei permessi dell’utente che richiama l’ioctl SMBIOC_UPDATE_NOTIFIER_PID, che elimina la possibilità di terminazione incontrollata di processi arbitrari.
RedazioneNella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o...
Mattinata difficile per i clienti Fastweb: dalle 9:30 circa, il numero di segnalazioni di malfunzionamento è schizzato alle stelle. Secondo i dati di Downdetector, le interruzioni hanno superato le 3...
Dopo il successo dello scorso anno, Scientifica lancia la nuova edizione di GlitchZone, la competition dedicata alle start-up che sviluppano soluzioni innovative per la cybersecurity. L’iniziativa �...
Il ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
