O código de exploração de trabalho que atinge a execução remota de código nas máquinas do Windows 10 está agora disponível publicamente para o CVE-2020-0796, uma vulnerabilidade crítica no Microsoft Server Message Block (SMB 3.1.1).
Espera-se que versões mais refinadas da exploração surjam, especialmente porque pelo menos duas empresas de cibersegurança criaram explorações para a vulnerabilidade e estão atrasando o lançamento desde abril.
Gravidade crítica
Conhecida por vários nomes (SMBGhost, CoronaBlue, NexternalBlue, BluesDay), a falha de segurança pode ser aproveitada por um invasor não autenticado para espalhar malware de um sistema vulnerável para outro sem interação do usuário.
O SMBGhost afeta as versões 1909 e 1903 do Windows 1909 e 1903, incluindo o Server Core. A Microsoft corrigiu-o em março,alertando que a exploração é “mais provável” em lançamentos de software mais antigos e mais novos e que é o mais crítico possível: pontuação máxima de gravidade de 10.
Tudo o que um invasor precisaria fazer para explorá-lo é enviar um pacote especialmente criado para um servidor SMBv3 direcionado. O resultado seria semelhante aos ataques WannaCry e NotPetya de 2017, que usaram a exploração EternalBlue para SMB v1.
Explorar código para SMBGhost
Depois que a vulnerabilidade vazou em março,os pesquisadores de segurança começaram a encontrar uma maneira de explorar o SMBGhost, mas os resultados foram limitados à escalada de privilégios locais(LPE)e à negação de serviço (tela azul).
Os cibercriminosos têm alavancado a vulnerabilidade para aumentar os privilégios locais e fornecer peças de malware (1, 2), como o trojan de acesso remoto Ave Maria com recursos de keylogging e roubo de informações.
Embora o LPE possa ajudar os atacantes em um estágio pós-compromisso, a execução remota de código (RCE) os colocaria dentro e ao redor, tornando-o um jogo mais para sistemas vulneráveis.
Quase três meses desde que a Microsoft lançou o patch, um pesquisador de segurança usando a alça do Twitter Chompie compartilhou publicamente uma versão do SMBGhost RCE.
A exploração se baseia em uma leitura física primitiva, disse a pesquisadora ao BleepingComputer, e que demonstrar esse primitivo interessante era sua intenção com o código.
O pesquisador diz que esse primitivo pode permitir a exploração mais fácil de futuros bugs de corrupção de memória SMB. Neste momento, um vazamento de informações é necessário para exploração remota. No entanto, o primitivo permitiria um método menos complicado.
Seu código não é 100% confiável e o objetivo é ajudar outras pessoas a expandir seus conhecimentos na área de engenharia reversa. “Foi escrito rapidamente e precisa de algum trabalho para ser mais confiável”, afirma o pesquisador no arquivo readme.
“Às vezes você BSOD. Usar isso para qualquer outro propósito que não seja a autoeducação é uma péssima ideia. Seu computador vai explodir em chamas. Filhotes morrerão.”
Chompie nos disse que funciona melhor no Windows 10 1903 e que muitos indivíduos foram capazes de explorar o bug com sucesso nesta versão.
“A existência dessa leitura primitiva torna a exploração mais simples. Mas como depende do DMA de tcpip, consegui resultados inconsistentes que justificam mais pesquisas”, disse ela.
Will Dormann, analista de vulnerabilidades do CERT/CC, testou o código de Chompie em uma máquina executando o Windows 10 v1909 e obteve resultados inconsistentes para execução remota de código. Às vezes, a exploração travava o sistema de teste, outras vezes falhava.
Do ponto de vista de um atacante, porém, o código não precisa ser 100% confiável, disse Dormann. Um acidente não é nada além de uma espera mais longa para a próxima tentativa, já que o Windows normalmente reinicia após o término do despejo de memória.
Se o código simplesmente falhar, nada impede o invasor de tentar até que atinja o efeito desejado. Ao mirar uma máquina vulnerável, os bandidos só precisam ser pacientes e insistir até que o código funcione.
Além disso, aqueles com conhecimento podem ajustá-lo para resolver as rugas. E smbghost é o tipo de bug qualificado que os atores de ameaça gostam de usar.
A exploração de Chompie para o SMBGhost RCE não é a única. A empresa de cibersegurança de startup ZecOps anunciou em abril que criou uma exploração que funciona quando acorrentada a uma vulnerabilidade infoleak.
No mesmo dia, a empresa de segurança cibernética Ricerca Security disse que a obtenção de RCE não foi fácil e forneceu provas de que era possível. Eles também publicaram detalhes técnicos explicando a estratégia e métodos que poderiam ser usados para explorar o SMBGhost.
No entanto, ambas as empresas impediram de liberar a exploração real. Em 26 de abril, zecOps disse que publicaria o código e uma gravação após a próxima atualização do Windows. Chompie diz que isso acontecerá nos próximos dias, que também é a razão pela qual ela decidiu tornar sua pesquisa pública.
FONTE: BLEEPING COMPUTER