PoC-эксплоит для SMBGhost позволяет удаленно выполнить код

Эксперты компании Ricerca Security продемонстрировали PoC-эксплоит для "червеобразной" уязвимости как SMBGhost в Windows 10 (CVE-2020-0796), позволяющий удаленно выполнить код.

Уязвимость SMBGhost присутствует в Windows 10 (версии 1903 и 1909), а также в Server Core Windows Server (версии 1903 и 1909) и затрагивает только версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3). Напомним, что корпорация Microsoft ранее в марте выпустила исправление.

SMBGhost позволяет неавторизованному атакующему удаленно выполнить код на целевом сервере или клиенте. Для осуществления атаки на SMBv3-сервер злоумышленник должен отправить ему особым образом сконфигурированный пакет. Для атаки на клиент сначала нужно настроить вредоносный SMBv3-сервер, а затем заставить жертву подключиться к нему.

После того, как об уязвимости случайно стало известно в марте нынешнего года, появилось несколько PoC-эксплоитов, однако они не позволяли использовать все возможности SMBGhost. С помощью одних эксплоитов можно только осуществлять DoS-атаки, а с помощью других – локально повышать свои привилегии, но эксплоита для удаленного выполнения кода до недавнего времени не существовало.

Как пояснили специалисты Ricerca Security, это связано с тем, что удаленная эксплуатация на уровне ядра существенно отличается от локальной, когда атакующий может воспользоваться полезными функциями ОС для запуска процессов в пространстве пользователя, обращения к PEB и системных вызовов. Тем не менее, исследователям удалось разработать PoC-эксплоит, позволяющий удаленно выполнить код через SMBGhost.

Системным администраторам, до сих пор не установившим исправление для CVE-2020-0796, настоятельно рекомендуется сделать это как можно скорее.