Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало предупреждение для пользователей Windows о том, что ранее опубликованный PoC-эксплоит для "червеобразной" уязвимости в Windows 10 (CVE-2020-0796) используется киберпреступниками для осуществления атак.

SMBGhost (альтернативное название - CoronaBlue) представляет собой уязвимость, затрагивающую версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3). SMBGhost затрагивает ОС Windows 10 и Windows Server и может использоваться для DoS-атак, повышения локальных привилегий и выполнения произвольного кода на системе.

Для осуществления атак на SMB-серверы злоумышленнику необходимо отправить вредоносные пакеты на целевую систему. Для этого нужно убедить жертву подключиться к вредоносному SMB-серверу.

Компания Microsoft выпустила исправления в марте нынешнего года. Исследователи начали публиковать PoC-эксплоиты для уязвимости вскоре после ее раскрытия, но они касались только DoS-атак или повышения привилегий. Некоторые команды исследователей утверждали, что разработали PoC-коды для эксплуатации уязвимости, обеспечивающие удаленное выполнение кода, но ни один из них не был обнародован.

Однако на прошлой неделе исследователь, использующая псевдоним Chompie, опубликовала PoC-эксплоит для SMBGhost, позволяющий удаленно выполнить код. По словам Chompie, эксплоит не является на 100% надежным и может привести к сбою в работе системы, однако несколько экспертов, исследовавших этот PoC-эксплоит, подтвердили, что удаленное выполнение кода можно осуществить.

CISA порекомендовало пользователям и администраторам установить исправления для SMBGhost и блокировать порты SMB с помощью межсетевого экрана и предупредило, что уязвимость в настоящее время уже эксплуатируется преступниками.