Exploit de Windows 10 SMB Ghost RCE demostrada por investigadores

exploit

Un exploit de ejecución remota de código (RCE) de prueba de concepto para la vulnerabilidad de ejecución remota de código previa a la autenticación CVE-2020-0796 de Windows 10 desarrollada y demostrada hoy por investigadores de Ricerca Security.

La vulnerabilidad de seguridad, también conocida como SMBGhost, se encontró en el protocolo de comunicación de red de Microsoft Server Message Block 3.1.1 (SMBv3) y solo afecta a los sistemas que ejecutan Windows 10, versión 1903 y 1909, así como a las instalaciones Server Core de Windows Server, versiones 1903 y 1909.

Parte de la información sobre SMBGhost se filtró durante el parche del mes pasado después de ser publicada accidentalmente por varios proveedores de seguridad que forman parte del Programa de Protección Activa de Microsoft a pesar de la decisión de Microsoft de retener la información y no emitir un aviso de seguridad.

"Un atacante que aprovechó con éxito la vulnerabilidad podría obtener la capacidad de ejecutar código en el servidor o cliente de destino", explica Microsoft .

"Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico. Para explotar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a eso."

DoS, LPE y ahora un exploit RCE PoC

Después de que surgieron varias vulnerabilidades de prueba de concepto (PoC), incluida una denegación de servicio desarrollada por el investigador de seguridad de Kryptos Logic, Marcus Hutchins, Microsoft lanzó parches de seguridad para todas las plataformas afectadas el 12 de marzo.

"Sin embargo, aunque ya ha habido muchos informes públicos y PoC de LPE (Local Privilege Escalation), ninguno de ellos ha demostrado que RCE sea realmente posible hasta ahora", dijeron hoy los investigadores de Ricerca Security.

"Esto probablemente se deba a que la explotación remota del kernel es muy diferente de la explotación local en que un atacante no puede utilizar funciones útiles del sistema operativo como crear procesos de usuario, referirse a PEB y emitir llamadas al sistema".

Si parchear todos los sistemas vulnerables no era lo suficientemente urgente hasta ahora, Ricerca Security demostró hoy un exploit PoC RCE para SMBGhost y publicó un informe con todos los detalles técnicos detrás de él , después de tuitear un avance hace una semana.

Ninguna explotación pública de RCE hasta ahora

Sin embargo, por el momento, Ricerca Security ha decidido no compartir públicamente su explotación de RCE PoC para evitar que caiga en las manos equivocadas.

"Decidimos hacer que nuestro PoC esté disponible exclusivamente para nuestros clientes para evitar el abuso por parte de los niños de los guiones o los cibercriminales", dijeron.

Investigadores de la firma de ciberseguridad Kryptos Logic descubrieron que cerca de 48,000 hosts de Windows 10 son vulnerables a los ataques dirigidos a la vulnerabilidad SMBGhost según un análisis de Internet el 12 de marzo.

Si aún no ha parcheado sus sistemas Windows 10 contra CVE-2020-0796, debe hacerlo lo antes posible para bloquear posibles ataques.

Si no puede actualizar en este momento, Microsoft recomienda deshabilitar la compresión SMBv3 utilizando este comando PowerShell (Administrador) (no se requiere reiniciar, el inconveniente es que no evita la explotación de clientes SMB): Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Semrush sigue a tu competencia


Fecha actualizacion el 2020-04-21. Fecha publicacion el 2020-04-21. Categoria: exploit Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil