В марте 2020 года была опубликована информация о проблеме CVE-2020-0796, которую так же называют SMBGhost. Она затрагивает SMBv3, и перед багом были уязвимы Windows 10 1903, Windows 10 1909, Windows Server 1903 и Windows Server  1909. Напомню, что именно протокол SMB несколько лет назад помог распространению WannaCry и NotPetya по всему миру.

Согласно данным компании Fortinet, уязвимость представляет собой переполнение буфера на серверах Microsoft SMB. Проблема проявляется, когда уязвимое ПО обрабатывает вредоносный пакет сжатых данных. Удаленный и неаутентифицированный злоумышленник может использовать это для выполнения произвольного кода в контексте приложения. Специалисты  Cisco Talos и вовсе предупреждали, что «эксплуатация уязвимости открывает системы для атак с потенциалом червя».

И хотя экстренные патчи для CVE-2020-0796 были выпущены еще в марте текущего года, исследователи по-прежнему обеспокоены этой проблемой. Дело в том, что своевременно установкой исправлений, как обычно, озаботились далеко не все, а согласно данным компании Kryptos Logic, еще недавно в интернете можно найти около 48 000 хостов с открытым SMB-портом, которые уязвимы для потенциальных атак с помощью нового бага.

Хуже того, в начале апреля уже были опубликованы первые PoC-эксплоиты для SMBGhost, которые помогают добиться отказа в обслуживании (DoS) и локального повышения привилегий.  PoC для удаленного выполнения кода тогда не был опубликован в силу его опасности.

Теперь же RCE-эксплоит для уязвимости разработал и представил эксперт из компании Ricerca Security. Исследователь не только продемонстрировал работу потенциально опасного эксплоита на видео и поделился им с изданием Bleeping Computer, но и обнародовал его детальное описание.

Пока Ricerca Security не опубликовала исходники эксплоита в открытом доступе, так как специалисты опасаются вкладывать столь опасный инструмент в руки преступников. В итоге пока PoC доступен исключительно для клиентов компании, но вряд ли это надолго.

Всех еще раз призывают как можно скорее установить обновления, исправляющие проблему CVE-2020-0796, а если это по каким-то причинам невозможно, нужно отключить сжатие SMBv3, а также заблокировать TCP-порт 445, согласно рекомендациям Microsoft.

1 комментарий

  1. Аватар

    pancho

    23.04.2020 at 07:57

    Не протокол smb стал причиной распространения, а несвоевременное обновление
    как и с вонакрай и петей, патчи поставят только поле того как случится какой-нибудь очень неприятный инцидент

Оставить мнение