Новый PoC-эксплоит для SMBGhost позволяет удаленно выполнить код
До недавнего времени эксплоита для уязвимости в SMBv3, позволяющего удаленно выполнить код, не существовало.
Специалисты компании Ricerca Security создали первый PoC-эксплоит для «червеобразной» уязвимости в Windows 10 ( CVE-2020-0796 ), позволяющий удаленно выполнить код.
Напомним, уязвимость , также известная как SMBGhost, затрагивает версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3), поэтому уязвимыми являются только Windows 10, (версии 1903 и 1909), а также установки Server Core Windows Server (версии 1903 и 1909).
Проблема позволяет неавторизованному атакующему удаленно выполнить код на целевом сервере или клиенте, и была исправлена Microsoft в прошлом месяце. Для осуществления атаки на SMBv3-сервер злоумышленник должен отправить ему особым образом сконфигурированный пакет. Для атаки на клиент сначала нужно настроить вредоносный SMBv3-сервер, а затем заставить жертву подключиться к нему.
После того, как об уязвимости случайно стало известно в марте нынешнего года, появилось несколько PoC-эксплоитов, однако они не позволяли использовать все возможности SMBGhost. С помощью одних эксплоитов можно только осуществлять DoS-атаки, а с помощью других – локально повышать свои привилегии, но эксплоита для удаленного выполнения кода до недавнего времени не существовало.
Как пояснили специалисты Ricerca Security, это связано с тем, что удаленная эксплуатация на уровне ядра существенно отличается от локальной, когда атакующий может воспользоваться полезными функциями ОС для запуска процессов в пространстве пользователя, обращения к PEB и системных вызовов. Тем не менее, исследователям удалось разработать PoC-эксплоит, позволяющий удаленно выполнить код через SMBGhost. Они опубликовали техническое описание и демо-видео, но решили не публиковать PoC-эксплоит в открытом доступе во избежание его попадания в плохие руки.
Системным администраторам, до сих пор не установившим исправление для CVE-2020-0796, настоятельно рекомендуется сделать это как можно скорее. PoC-эксплоит для удаленного выполнения кода через SMBGhost уже существует, и только вопрос времени, когда он появится у хакеров .