30/10/20
Компания Microsoft исправила уязвимость SMBGhost ( CVE-2020-0796 ) в Windows SMBv3 еще в марте нынешнего года, однако более 100 тыс. систем по-прежнему уязвимы.
SMBGhost затрагивает Windows 10 и Windows Server 2019 и по шкале оценивания опасности уязвимостей CVSS получила максимальные 10 баллов. Уязвимость существует в версии 3.1.1 протокола Microsoft Server Message Block (SMB), того самого, что использовался киберпреступниками для распространения вымогательского ПО WannaCry в 2017 году.
«Я не знаю, какой метод использует Shodan для выявления машин, уязвимых к SMBGhost, но если его механизм работает точно, то в настоящее время через интернет доступно более 103 тыс. затронутых машин», - отметил исследователь SANS Internet Storm Center Ян Коприва (Jan Kopriva).
Как сообщил Коприва, многие уязвимые системы (22%) находятся на Тайване, а также в Японии (20%), России (11%) и США (9%).
В качестве исправления уязвимости Microsoft выпустила обновление KB4551762 для Windows 10 (версии 1903 и 1909) и Windows Server 2019 (версии 1903 и 1909). В качестве альтернативы компания также предложила администраторам отключить компрессию SMBv3 с помощью PowerShell. Для защиты клиентов от внешних атак необходимо заблокировать TCP-порт 445 на границе сетевого периметра. В связи с этим Коприва также проверил через Shodan, сколько IP-адресов с открытыми портами 445 доступно через интернет. Как оказалось, почти 8% от всех IP-адресов имеют открытый порт 445.
Системным администраторам настоятельно рекомендуется установить исправление, так как в Сети доступен целый ряд PoC-эксплоитов. Хотя большинство попыток эксплуатации SMBGhost заканчивается лишь отказом в обслуживании или повышением привилегий, в июне нынешнего года некто под псевдонимом Chompie опубликовал PoC-эксплоит, позволяющий удаленно выполнить код.
