Новый PoC-эксплоит для SMBGhost позволяет удаленно выполнить код
22/04/20
Специалисты компании Ricerca Security создали первый PoC-эксплоит для «червеобразной» уязвимости в Windows 10 ( CVE-2020-0796 ), позволяющий удаленно выполнить код.
Напомним, уязвимость, также известная как SMBGhost, затрагивает версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3), поэтому уязвимыми являются только Windows 10, (версии 1903 и 1909), а также установки Server Core Windows Server (версии 1903 и 1909).
Проблема позволяет неавторизованному атакующему удаленно выполнить код на целевом сервере или клиенте, и была исправлена Microsoft в прошлом месяце. Для осуществления атаки на SMBv3-сервер злоумышленник должен отправить ему особым образом сконфигурированный пакет. Для атаки на клиент сначала нужно настроить вредоносный SMBv3-сервер, а затем заставить жертву подключиться к нему.
После того, как об уязвимости случайно стало известно в марте нынешнего года, появилось несколько PoC-эксплоитов, однако они не позволяли использовать все возможности SMBGhost. С помощью одних эксплоитов можно только осуществлять DoS-атаки, а с помощью других – локально повышать свои привилегии, но эксплоита для удаленного выполнения кода до недавнего времени не существовало.
Как пояснили специалисты Ricerca Security, это связано с тем, что удаленная эксплуатация на уровне ядра существенно отличается от локальной, когда атакующий может воспользоваться полезными функциями ОС для запуска процессов в пространстве пользователя, обращения к PEB и системных вызовов. Тем не менее, исследователям удалось разработать PoC-эксплоит, позволяющий удаленно выполнить код через SMBGhost. Они опубликовали техническое описание и демо-видео, но решили не публиковать PoC-эксплоит в открытом доступе во избежание его попадания в плохие руки.
Системным администраторам, до сих пор не установившим исправление для CVE-2020-0796, настоятельно рекомендуется сделать это как можно скорее. PoC-эксплоит для удаленного выполнения кода через SMBGhost уже существует, и только вопрос времени, когда он появится у хакеров.