CISA предупредило об атаках с использованием уязвимости SMBGhost

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредило пользователей Windows о том, что недавно опубликованный PoC-эксплоит для «червеобразной» уязвимости в Windows 10 ( CVE-2020-0796 ) используется для осуществления атак.

SMBGhost, также известный как CoronaBlue, представляет собой уязвимость, затрагивающую версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3). Уязвимость затрагивает ОС Windows 10 и Windows Server и может использоваться для DoS-атак, повышения локальных привилегий и выполнения произвольного кода на системе.

Для осуществления атак на SMB-серверы злоумышленнику необходимо отправить вредоносные пакеты на целевую систему. Преступник также должен обманом убедить жертву подключиться к вредоносному SMB-серверу.

Компания Microsoft сообщила об опасности уязвимости, а затем выпустила исправления и меры предотвращения эксплуатации уязвимости в марте нынешнего года. Исследователи начали публиковать PoC-эксплоиты для уязвимости вскоре после ее раскрытия, но они касались только DoS-атак или повышения привилегий. Несколько компаний и исследователей утверждали, что разработали PoC-коды для эксплуатации уязвимости, обеспечивающие удаленное выполнение кода, но ни один из них не был обнародован.

Однако на прошлой неделе исследователь, использующая псевдоним Chompie, опубликовала PoC-эксплоит для SMBGhost, позволяющий удаленно выполнить код. По словам Chompie, не является на 100% надежным и может привести к сбою в работе системы, однако несколько экспертов, протестировавших эксплоит, подтвердили, что удаленное выполнение кода можно осуществить.

CISA порекомендовало пользователям и администраторам установить исправления для SMBGhost и блокировать порты SMB с помощью межсетевого экрана и предупредило, что уязвимость в настоящее время эксплуатируется преступниками.