Эксперты компании Ricerca Security продемонстрировали PoC-эксплоит для "червеобразной" уязвимости как SMBGhost в Windows 10 (CVE-2020-0796), позволяющий удаленно выполнить код.
Уязвимость SMBGhost присутствует в Windows 10 (версии 1903 и 1909), а также в Server Core Windows Server (версии 1903 и 1909) и затрагивает только версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3). Напомним, что корпорация Microsoft ранее в марте выпустила исправление.
SMBGhost позволяет неавторизованному атакующему удаленно выполнить код на целевом сервере или клиенте. Для осуществления атаки на SMBv3-сервер злоумышленник должен отправить ему особым образом сконфигурированный пакет. Для атаки на клиент сначала нужно настроить вредоносный SMBv3-сервер, а затем заставить жертву подключиться к нему.
После того, как об уязвимости случайно стало известно в марте нынешнего года, появилось несколько PoC-эксплоитов, однако они не позволяли использовать все возможности SMBGhost. С помощью одних эксплоитов можно только осуществлять DoS-атаки, а с помощью других – локально повышать свои привилегии, но эксплоита для удаленного выполнения кода до недавнего времени не существовало.
Как пояснили специалисты Ricerca Security, это связано с тем, что удаленная эксплуатация на уровне ядра существенно отличается от локальной, когда атакующий может воспользоваться полезными функциями ОС для запуска процессов в пространстве пользователя, обращения к PEB и системных вызовов. Тем не менее, исследователям удалось разработать PoC-эксплоит, позволяющий удаленно выполнить код через SMBGhost.
Системным администраторам, до сих пор не установившим исправление для CVE-2020-0796, настоятельно рекомендуется сделать это как можно скорее.
- 17.01.2021 Исправлена уязвимость нулевого дня в Microsoft Defender
- 14.12.2020 Опубликован PoC-эксплоит повышения привилегий, актуальный для всех версий Windows
- 06.12.2020 Обнаружен бэкдок, использующийся APT-группой последние 5 лет
- 04.10.2020 Больше половины всех Exchange Server уязвимы к атакам
- 27.09.2020 Шифровальщик AgeLocker атакует хранилища QNAP