Os investigadores Daniel García Gutiérrez (@danigargu) e Manuel Blanco Parajón (@dialluvioso_) publicaram exploits de prova de conceito (PoC) para a vulnerabilidade do Windows CVE-2020-0796, identificada como SMBGhost, que pode ser explorada por criminosos em ataques de escalonamento de privilégios (local privesc).
As empresas de segurança Kryptos Logic descobriram cerca de 48.000 servidores vulneráveis a ataques SMBGhost expostos online.
We’ve just finished our first internet wide scan for CVE-2020-0796 and have identified 48000 vulnerable hosts. We’ll be loading this data into Telltale for CERTs and organisations to action. We’re also working on a blog post with more details (after patch).
— Kryptos Logic (@kryptoslogic) March 12, 2020
Em 10 de março de 2019, a Microsoft vazou acidentalmente informações sobre uma atualização para uma vulnerabilidade no protocolo SMB (Microsoft Server Message Block).
O problema é uma falha de execução de código que reside no protocolo de comunicação de rede do Server Message Block 3.0 (SMBv3).
A vulnerabilidade é causada por um erro na maneira como o SMBv3 lida com pacotes de dados compactados criados com códigos maliciosos; um invasor remoto não autenticado pode explorar a falha para executar código arbitrário no contexto da aplicação.
A Microsoft lançou a atualização KB4551762 para Windows 10, versões 1903 e 1909, e Windows Server 2019, versões 1903 e 1909.
Depois da divulgação da vulnerabilidade, especialistas de segurança criaram um conjunto de exploits para explorar uma condição de DoS. No entanto, a empresa de segurança ZecOps publicou detalhes técnicos da vulnerabilidade o que permitiu a criação de um exploit para execução remota de código (RCE). O PoC permite escalar privilégios para SYSTEM.
“The bug is an integer overflow bug that happens in the Srv2DecompressData function in the srv2.sys SMB server driver.” wrote the experts. “We managed to demonstrate that the CVE-2020-0796 vulnerability can be exploited for local privilege escalation. Note that our exploit is limited for medium integrity level, since it relies on API calls that are unavailable in a lower integrity level.”
Mais detalhes sobre a vulnerabilidade e PoC em: https://blog.zecops.com/vulnerabilities/exploiting-smbghost-cve-2020-0796-for-a-local-privilege-escalation-writeup-and-poc/.