В марте 2020 года была опубликована информация о проблеме CVE-2020-0796, которую так же называют SMBGhost. Она затрагивает SMBv3, и перед багом были уязвимы Windows 10 1903, Windows 10 1909, Windows Server 1903 и Windows Server 1909. Напомню, что именно протокол SMB несколько лет назад помог распространению WannaCry и NotPetya по всему миру.
Согласно данным компании Fortinet, уязвимость представляет собой переполнение буфера на серверах Microsoft SMB. Проблема проявляется, когда уязвимое ПО обрабатывает вредоносный пакет сжатых данных. Удаленный и неаутентифицированный злоумышленник может использовать это для выполнения произвольного кода в контексте приложения. Специалисты Cisco Talos и вовсе предупреждали, что «эксплуатация уязвимости открывает системы для атак с потенциалом червя».
И хотя экстренные патчи для CVE-2020-0796 были выпущены еще в марте текущего года, исследователи по-прежнему обеспокоены этой проблемой. Дело в том, что своевременно установкой исправлений, как обычно, озаботились далеко не все, а согласно данным компании Kryptos Logic, еще недавно в интернете можно найти около 48 000 хостов с открытым SMB-портом, которые уязвимы для потенциальных атак с помощью нового бага.
Хуже того, в начале апреля уже были опубликованы первые PoC-эксплоиты для SMBGhost, которые помогают добиться отказа в обслуживании (DoS) и локального повышения привилегий. PoC для удаленного выполнения кода тогда не был опубликован в силу его опасности.
Теперь же RCE-эксплоит для уязвимости разработал и представил эксперт из компании Ricerca Security. Исследователь не только продемонстрировал работу потенциально опасного эксплоита на видео и поделился им с изданием Bleeping Computer, но и обнародовал его детальное описание.
Пока Ricerca Security не опубликовала исходники эксплоита в открытом доступе, так как специалисты опасаются вкладывать столь опасный инструмент в руки преступников. В итоге пока PoC доступен исключительно для клиентов компании, но вряд ли это надолго.
Всех еще раз призывают как можно скорее установить обновления, исправляющие проблему CVE-2020-0796, а если это по каким-то причинам невозможно, нужно отключить сжатие SMBv3, а также заблокировать TCP-порт 445, согласно рекомендациям Microsoft.