Publicado Prova de Conceito de exploração de bug do Windows 10 SMBGhost

Publicado Prova de Conceito de exploração de bug do Windows 10 SMBGhost. O código de exploração de execução remota de bug em máquinas Windows 10 está disponível publicamente

O código de exploração o CVE-2020-0796 que permite a execução remota de código em máquinas Windows 10 está disponível publicamente , uma vulnerabilidade crítica no Microsoft Server Message Block (SMB 3.1.1).

Espera-se que versões mais refinadas da exploração surjam, especialmente porque pelo menos duas empresas de segurança cibernética criaram explorações para a vulnerabilidade e estão atrasando o lançamento desde abril.

Gravidade crítica

Conhecida por vários nomes (SMBGhost, CoronaBlue, NexternalBlue, BluesDay), a falha de segurança pode ser aproveitada por um invasor não autenticado para espalhar malware de um sistema vulnerável para outro sem a interação do usuário.

O SMBGhost afeta as versões 1909 e 1903 do Windows 10, incluindo o Server Core. A Microsoft o corrigiu em março , alertando que a exploração é “mais provável” em versões de software mais antigas e mais recentes e é a mais crítica possível: pontuação máxima de gravidade de 10.

Tudo o que um invasor precisa fazer para explorá-lo é enviar um pacote especialmente criado para um servidor SMBv3 de destino. O resultado seria semelhante aos ataques WannaCry e NotPetya de 2017, que usaram a exploração EternalBlue para SMB v1.

Explorar código para SMBGhost

Segundo o BleeplingComputer, após o vazamento da vulnerabilidade  em março, os pesquisadores de segurança começaram a encontrar uma maneira de explorar o SMBGhost, mas os resultados foram limitados à escalada de privilégios locais ( LPE ) e negação de serviço (tela azul).

Os criminosos cibernéticos têm aproveitado a vulnerabilidade para aumentar os privilégios locais e fornecer peças de malware, como o trojan de acesso remoto Ave Maria, com recursos de registro de chaves e roubo de informações.

Embora o LPE possa ajudar os invasores em um estágio pós-comprometimento, a execução remota de código (RCE) os colocaria dentro e fora, tornando o jogo viável para sistemas vulneráveis.

Quase três meses desde que a Microsoft lançou o patch, um pesquisador de segurança que usava o Twitter, Chompie, compartilhou publicamente uma versão do SMBGhost RCE.

A exploração depende de um primitiva de leitura física, disse o pesquisador ao BleepingComputer, e que demonstrar essa primitiva era sua intenção com a demonstração do código.

O pesquisador diz que essa primitiva pode permitir uma exploração mais fácil de futuros erros de corrupção de memória SMB. No momento, é necessário um vazamento de informações para exploração remota. No entanto, a primitiva permitiria um método menos complicado.

Seu código não é 100% confiável e o objetivo é ajudar outras pessoas a expandir seus conhecimentos na área de engenharia reversa. “Foi escrito rapidamente e precisa de algum trabalho para ser mais confiável“, afirma o pesquisador no arquivo leia-me.

Chompie disse que funciona melhor no Windows 10 1903 e que muitas pessoas conseguiram explorar o bug com êxito nesta versão.

A existência dessa primitiva torna a exploração mais direta. Mas, como depende do DMA do tcpip, obtive resultados inconsistentes que justificam mais pesquisas“, disse ela.

Will Dormann, analista de vulnerabilidades do CERT / CC, testou o código de Chompie em uma máquina executando o Windows 10 v1909 e obteve resultados inconsistentes para a execução remota de código. Às vezes, a exploração travava o sistema de teste, outras, falhava.

Do ponto de vista de um invasor, porém, o código não precisa ser 100% confiável, disse Dormann. Uma falha não passa de uma espera mais longa pela próxima tentativa, pois o Windows normalmente reinicia após a conclusão do despejo de memória.

Se o código simplesmente falhar, nada impedirá que o invasor tente até atingir o efeito desejado. Ao direcionar uma máquina vulnerável, os bandidos precisam apenas ser pacientes e insistir até que o código funcione.

Além disso, quem tem conhecimento pode ajustá-lo para eliminar os erros. E o SMBGhost é o tipo de ameaça que os atores de ameaças gostam de usar.

A exploração de Chompie pelo SMBGhost RCE não é a única. A empresa iniciante de segurança cibernética ZecOps anunciou em abril que criou uma exploração que funciona quando encadeada com uma vulnerabilidade de infiltração.

No mesmo dia, a empresa de segurança cibernética Ricerca Security disse que a obtenção do RCE não era fácil e forneceu provas de que isso era possível. Eles também publicaram detalhes técnicos explicando a estratégia e os métodos que poderiam ser usados ​​para explorar o SMBGhost.

No entanto, as duas empresas impediram de liberar a exploração real. Em 26 de abril, o ZecOps disse que publicaria o código e escreveria após a próxima atualização do Windows. Chompie diz que isso acontecerá em alguns dias, razão pela qual ela decidiu tornar sua pesquisa pública.

Fonte BleeplingComputer

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Dispositivos QNAP NAS são alvo de ataques de ransomware

Deixe sua opinião!