CISA предупредило об атаках с использованием уязвимости SMBGhost

[Artifact]

Операторы различных вредоносных программ использовали SMBGhost для удаленного выполнения кода.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США https://www.us-cert.gov/ncas/current...-cve-2020-0796 пользователей Windows о том, что недавно опубликованный PoC-эксплоит для «червеобразной» уязвимости в Windows 10 ( https://www.securitylab.ru/vulnerability/505752.php ) используется для осуществления атак.
SMBGhost, также известный как CoronaBlue, представляет собой уязвимость, затрагивающую версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3). Уязвимость затрагивает ОС Windows 10 и Windows Server и может использоваться для DoS-атак, повышения локальных привилегий и выполнения произвольного кода на системе.
Для осуществления атак на SMB-серверы злоумышленнику необходимо отправить вредоносные пакеты на целевую систему. Преступник также должен обманом убедить жертву подключиться к вредоносному SMB-серверу.
Компания Microsoft сообщила об опасности уязвимости, а затем выпустила исправления и меры предотвращения эксплуатации уязвимости в марте нынешнего года. Исследователи начали публиковать PoC-эксплоиты для уязвимости вскоре после ее раскрытия, но они касались только DoS-атак или повышения привилегий. Несколько компаний и исследователей утверждали, что разработали PoC-коды для эксплуатации уязвимости, обеспечивающие удаленное выполнение кода, но ни один из них не был обнародован.
Однако на прошлой неделе исследователь, использующая псевдоним Chompie, https://github.com/chompie1337/SMBGhost_RCE_PoC PoC-эксплоит для SMBGhost, позволяющий удаленно выполнить код. По словам Chompie, не является на 100% надежным и может привести к сбою в работе системы, однако несколько экспертов, протестировавших эксплоит, подтвердили, что удаленное выполнение кода можно осуществить.
CISA порекомендовало пользователям и администраторам установить исправления для SMBGhost и блокировать порты SMB с помощью межсетевого экрана и предупредило, что уязвимость в настоящее время эксплуатируется преступниками.