В середине января 2017 года специалисты US-CERT предупреждали, что среди хакерских инструментов, опубликованных группировкой The Shadow Brokers, возможно, неспроста числился RCE-эксплоит для 0-day уязвимости в протоколе SMB (Server Message Block). Хотя тогда наличие уязвимости нулевого дня не было подтверждено, аналитики US-CERT рекомендовали принять превентивные меры предосторожности. «Данный сервис является общедоступным в системах Windows, и устаревшие версии SMB могут позволить удаленному атакующему извлечь конфиденциальные сведения из уязвимой системы», — писали эксперты.
Судя по всему, мрачные прогнозы специалистов полностью оправдались. В конце прошлой недели на GitHub был опубликован proof-of-concept эксплоит для уязвимости в протоколе SMB. US-CERT уже выпустили новое предупреждение, согласно которому, эксплоит представляет опасность для Windows 10, 8.1, Server 2012 и Server 2016. По данным специалистов, эскплоит позволяет реализовать Denial-of-Service атаку, но потенциально может быть использован и для выполнения произвольного кода с привилегиями ядра.
Данная уязвимость набрала высокий результат по шкале CVSS (сначала проблеме и вовсе дали 10 баллов из 10 возможных, но потом ее рейтинг все же понизили до 7,8), а это значит, что ее можно эксплуатировать удаленно, и для этого атакующему совсем необязательно иметь глубокие технические познания. Единственная хорошая новость заключается в том, что злоумышленнику, скорее всего, понадобится использовать социальную инженерию, чтобы убедить жертву кликнуть на вредоносную ссылку, соединившись с SMB-сервером хакеров.
Исправления для проблемы пока нет, но разработчики Microsoft уже готовят патч, который должен быть представлен 14 февраля 2017 года, в ходе очередного «вторника обновлений». До этого времени эксперты US-CERT рекомендуют администраторам блокировать исходящие соединения с SMB-серверами (TCP порты 139 и 445, а также UDP порты 137 и 138) в локальной сети. Стоит сказать, что в настоящее время существует три версии протокола, и Microsoft давно призывает отказаться от использования совсем устаревшего SMBv1 и переходить на SMBv2 или SMBv3. Но новая уязвимость и эксплоит представляют опасность для SMBv3.