Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Tajemnicza podatność CVE-2020-0796: zdalne wykonanie kodu w SMBv3. Wizja nowego robaka atakującego świat Windowsów…
Microsoft załatał właśnie 25 krytycznych podatności; gdzie pojawiła się ponoć informacja o takim bugu:
CVE-2020-0796 is a remote code execution vulnerability in Microsoft Server Message Block 3.0 (SMBv3). An attacker could exploit this bug by sending a specially crafted packet to the target SMBv3 server, which the victim needs to be connected to. Users are encouraged to disable SMBv3 compression and block TCP port 445 on firewalls and client computers. The exploitation of this vulnerability opens systems up to a “wormable” attack, which means it would be easy to move from victim to victim.
Wormable – sugerowałoby, że podatność nie wymaga uwierzytelnienia. Całość owiana jest też pewną nutką tajemnicy / skandalu (niepotrzebne skreślić). Wg różnych relacji informacja pojawiła się na stronach Microsoftu czy blogu Cisco Talos. Po pewnym czasie została jednak zdjęta… choć pewnie wątki jej dotyczące można znaleźć np. tutaj. Fortinet rzeczywiście wspomina, że podatność nie wymaga uwierzytelnienia i zostało jej przypisane maksymalne ryzyko:
A remote, unauthenticated attacker can exploit this to execute arbitrary code within the context of the application.
Bug został załatany (po cichu), czy jeszcze nie załatany? (bo np. Microsoft usunął łatkę w ostatniej chwili) – tego dowiemy się pewnie niebawem. Obecne rekomendacje: zablokować dostępność z Internetu port 445 (SMB) oraz „wyłączyć kompresję SMBv3”.
–ms
Z „papiren” przesłanych od Microsoftu wynika, że ta podatność nie została załatana (chyba, że bardzo po cichu) i status jest:
” Mitigations – Microsoft has not identified any mitigating factors for this vulnerability.”
Tłum żąda PoC-a :)
Żeby tylko PoC nie okazał się uzbojonym bojowo exploitem łojącym każdego bez listości :P