A marcha “Terça-feira de atualizações” não incluiu um patch para a vulnerabilidade CVE-2020-0796, informações sobre as quais foram publicadas erroneamente por especialistas da Cisco Talos e Fortinet em domínio público. Recentemente, profissionais de segurança publicaram exploits PoC para esta vulnerabilidade chamada SMBGhost.
Problema CVE-2020-0796, também chamado de SMBGhost, afeta SMBv3, embora o Windows 10 1903, Windows 10 1909, Servidor Windows 1903, e Windows Servidor 1909 também são vulneráveis ao bug.
Deixe-me lembrá-lo de que o protocolo SMB ajudou a distribuir WannaCry e NotPetya em todo o mundo há alguns anos. Recentemente Microsoft fortemente recomendado desabilitando SMBv1 no Microsoft Exchange, já que não é possível criar patches para este protocolo.
Mês passado, Os especialistas da Kryptos Logic estimaram que sobre 48,000 anfitriões com uma porta SMB aberta, que são vulneráveis a possíveis ataques com um novo bug, pode ser encontrado na Internet.
“A vulnerabilidade é um buffer overflow em servidores Microsoft SMB. O problema se manifesta quando o software vulnerável processa um pacote malicioso de dados compactados. Um invasor remoto e não autenticado pode usar isso para executar código arbitrário no contexto do aplicativo”, – dizem os especialistas da Fortinet.
Uma descrição semelhante do problema foi publicada e removida do blog Cisco Talos. A empresa afirmou que “explorar a vulnerabilidade abre sistemas para ataques com potencial de worm,”O que significa que o problema pode facilmente se espalhar de vítima para vítima.
Devido a um vazamento em meados de março, Os engenheiros da Microsoft foram forçados a preparar urgentemente um patch extraordinário para esta vulnerabilidade. O hotfix está disponível como KB4551762 para Windows 10, versões 1903 e 1909, bem como Windows Server 2019 versões 1903 e 1909.
Os pesquisadores já criaram e publicaram ferramentas que podem ser usadas para encontrar servidores vulneráveis, e também tem lançou PoC exploits que ajudam a alcançar a negação de serviço (DoS).
Embora o PoC para execução remota de código ainda não tenha sido publicado devido ao seu perigo, Especialistas em ZecOps desenvolveram e lançaram PoC, que demonstra como o SMBGhost pode ser usado para elevar privilégios para SYSTEM. Adicionalmente, Pesquisadores ZecOps publicaram um relatório no blog com os detalhes técnicos de um ataque à escalada de privilégios locais.
Especialistas independentes Daniel Garcia Gutiérrez e Manuel Blanco Parajón apresentou outro exploração semelhante para SMBGhost.
Especialistas lembram aos usuários a importância da instalação oportuna de atualizações, uma vez que o aparecimento de uma exploração RCE no domínio público definitivamente não está longe.
