Bug do Windows 10 SMBGhost recebe prova de conceito pública

Views: 475
0 0
Read Time:4 Minute, 5 Second

O código de exploração de trabalho que atinge a execução remota de código nas máquinas do Windows 10 está agora disponível publicamente para o CVE-2020-0796, uma vulnerabilidade crítica no Microsoft Server Message Block (SMB 3.1.1).

Espera-se que versões mais refinadas da exploração surjam, especialmente porque pelo menos duas empresas de cibersegurança criaram explorações para a vulnerabilidade e estão atrasando o lançamento desde abril.

Gravidade crítica

Conhecida por vários nomes (SMBGhost, CoronaBlue, NexternalBlue, BluesDay), a falha de segurança pode ser aproveitada por um invasor não autenticado para espalhar malware de um sistema vulnerável para outro sem interação do usuário.

O SMBGhost afeta as versões 1909 e 1903 do Windows 1909 e 1903, incluindo o Server Core. A Microsoft corrigiu-o em março,alertando que a exploração é “mais provável” em lançamentos de software mais antigos e mais novos e que é o mais crítico possível: pontuação máxima de gravidade de 10.

Tudo o que um invasor precisaria fazer para explorá-lo é enviar um pacote especialmente criado para um servidor SMBv3 direcionado. O resultado seria semelhante aos ataques WannaCry e NotPetya de 2017, que usaram a exploração EternalBlue para SMB v1.

Explorar código para SMBGhost

Depois que a vulnerabilidade vazou em março,os pesquisadores de segurança começaram a encontrar uma maneira de explorar o SMBGhost, mas os resultados foram limitados à escalada de privilégios locais(LPE)à negação de serviço (tela azul).

Os cibercriminosos têm alavancado a vulnerabilidade para aumentar os privilégios locais e fornecer peças de malware (1, 2), como o trojan de acesso remoto Ave Maria com recursos de keylogging e roubo de informações.

Embora o LPE possa ajudar os atacantes em um estágio pós-compromisso, a execução remota de código (RCE) os colocaria dentro e ao redor, tornando-o um jogo mais para sistemas vulneráveis.

Quase três meses desde que a Microsoft lançou o patch, um pesquisador de segurança usando a alça do Twitter Chompie compartilhou publicamente uma versão do SMBGhost RCE.

A exploração se baseia em uma leitura física primitiva, disse a pesquisadora ao BleepingComputer, e que demonstrar esse primitivo interessante era sua intenção com o código.

O pesquisador diz que esse primitivo pode permitir a exploração mais fácil de futuros bugs de corrupção de memória SMB. Neste momento, um vazamento de informações é necessário para exploração remota. No entanto, o primitivo permitiria um método menos complicado.

Seu código não é 100% confiável e o objetivo é ajudar outras pessoas a expandir seus conhecimentos na área de engenharia reversa. “Foi escrito rapidamente e precisa de algum trabalho para ser mais confiável”, afirma o pesquisador no arquivo readme.

“Às vezes você BSOD. Usar isso para qualquer outro propósito que não seja a autoeducação é uma péssima ideia. Seu computador vai explodir em chamas. Filhotes morrerão.”

Chompie nos disse que funciona melhor no Windows 10 1903 e que muitos indivíduos foram capazes de explorar o bug com sucesso nesta versão.

“A existência dessa leitura primitiva torna a exploração mais simples. Mas como depende do DMA de tcpip, consegui resultados inconsistentes que justificam mais pesquisas”, disse ela.

Will Dormann, analista de vulnerabilidades do CERT/CC, testou o código de Chompie em uma máquina executando o Windows 10 v1909 e obteve resultados inconsistentes para execução remota de código. Às vezes, a exploração travava o sistema de teste, outras vezes falhava.

fonte: Will Dormann

Do ponto de vista de um atacante, porém, o código não precisa ser 100% confiável, disse Dormann. Um acidente não é nada além de uma espera mais longa para a próxima tentativa, já que o Windows normalmente reinicia após o término do despejo de memória.

Se o código simplesmente falhar, nada impede o invasor de tentar até que atinja o efeito desejado. Ao mirar uma máquina vulnerável, os bandidos só precisam ser pacientes e insistir até que o código funcione.

crédito: Will Dormann

Além disso, aqueles com conhecimento podem ajustá-lo para resolver as rugas. E smbghost é o tipo de bug qualificado que os atores de ameaça gostam de usar.

A exploração de Chompie para o SMBGhost RCE não é a única. A empresa de cibersegurança de startup ZecOps anunciou em abril que criou uma exploração que funciona quando acorrentada a uma vulnerabilidade infoleak.

No mesmo dia, a empresa de segurança cibernética Ricerca Security disse que a obtenção de RCE não foi fácil e forneceu provas de que era possível. Eles também publicaram detalhes técnicos explicando a estratégia e métodos que poderiam ser usados para explorar o SMBGhost.

No entanto, ambas as empresas impediram de liberar a exploração real. Em 26 de abril, zecOps disse que publicaria o código e uma gravação após a próxima atualização do Windows. Chompie diz que isso acontecerá nos próximos dias, que também é a razão pela qual ela decidiu tornar sua pesquisa pública.

FONTE: BLEEPING COMPUTER

POSTS RELACIONADOS