Kilka dni temu pojawił się nowy exploit, który umożliwia zdalne wykonanie kodu na komputerach z systemem Windows 10. Dotyczy podatności CVE-2020-0796, krytycznej luki w protokole SMB v3.1.1, która co ciekawe została odkryta już na początku marca 2020 roku. Opisaliśmy ją wtedy w innym naszym artykule i sprawdziliśmy jej działanie. Okazuje się, że pojawiają się coraz bardziej wyrafinowane exploity dotyczące podatności SMBv3. Wcześniej luka pozwalała „tylko” na eskalację lokalnych uprawnień oraz wywołanie Blue Screen na atakowanej maszynie. Chodź Microsoft wydał patch do tej podatności, exploit jest zaskakująco prosty i warto go pokazać.
Krytyczna podatność w SMB v3
Znana pod różnymi nazwami (SMBGhost, CoronaBlue, NexternalBlue, BluesDay) luka w zabezpieczeniach SMB v3 może zostać wykorzystana przez nieuwierzytelnionego atakującego w celu rozprzestrzeniania złośliwego oprogramowania z jednego podatnego systemu na drugi bez interakcji użytkownika. Niezałatane SMB v3 daje więc podobny wynik do ataków WannaCry i NotPetya z 2017 roku, w których wykorzystano exploit EternalBlue dla SMB v1.
Microsoft załatał tę dziurę w marcu, ostrzegając, że wykorzystanie jej jest możliwe zarówno w starszych, jak i nowszych wersjach oprogramowania Windows. Dodał również, że podatność jest tak krytyczna, jak to tylko możliwe i otrzymała ona 10/10 punktów.
Po ujawnieniu luki w marcu, praktycy bezpieczeństwa zaczęli znajdować sposoby na wykorzystanie SMBGhost, ale wyniki były ograniczone do lokalnego podniesienia uprawnień (LPE) i wywołania odmowy usługi (Blue Screen). LPE może pomóc atakującym na etapie „persistence”, jednak to zdalne wykonanie kodu (RCE) sprawia, że podatne systemy są bezbronne i tradycyjne zabezpieczenia tutaj nie pomogą.
Nowy exploit RCE
Prawie trzy miesiące po opublikowaniu łaty przez Microsoft, badacz bezpieczeństwa korzystający z pseudonimu „Chompie” udostępnił publicznie Proof-of-Concept SMBGhost RCE. Kod nie jest w 100% działający, ale celem doświadczenia była pomoc innym w zrozumieniu mechanizmu wykorzystania podatności. Udostępnienie specjalnie upośledzonego kodu jest pewnego rodzaju zabezpieczeniem przed skopiowaniem exploita i użyciem go przez hackerów. Twórca twierdzi, że kod działa najlepiej w systemie Windows 10 v1903 i że wiele cyberprzestępców mogło wcześniej z powodzeniem wykorzystać ten błąd w tej wersji Windows.
Will Dormann, analityk podatności, przetestował kod Chompie na komputerze z systemem Windows 10 v1909 i uzyskał niespójne wyniki dotyczące skuteczności zdalnego wykonania. Według niego czasami exploit psuje system testowy, innym razem po prostu się nie udaje. Jednak z punktu widzenia atakującego kod nie musi być w 100% niezawodny. Awaria to tylko dłuższe oczekiwanie na następną próbę, ponieważ system Windows zwykle uruchamia się ponownie po Blue Screen.
Tak czy inaczej, exploit RCE został uznany za poprawny i bardzo niebezpieczny dla niezałatanych stacji roboczych. Jego działanie przedstawiono na filmie poniżej:
To nie wszystko
Exploit Chompie z SMBGhost RCE nie jest jedynym na „rynku”. Startup ZecOps ogłosił w kwietniu, że stworzył podobnego exploita, który działa, gdy jest połączony z luką w zabezpieczeniach SMB v3. Nie pokazał jednak dowodu ani kodu źródłowego.
Tego samego dnia firma Ricerca Security powiedziała, że uzyskanie RCE nie jest wcale takie łatwe jak napisano, ale przedstawiła dowód, że jest to możliwe. Opublikowano także szczegóły techniczne wyjaśniające metody, które można wykorzystać do użycia luki SMBGhost.
Jednak obie firmy powstrzymały się od opublikowania faktycznego exploita uważając, że jego wpływ może być zbyt duży. Teraz, po 3 miesiącach od wypuszczenia poprawki, działający złośliwy kod jest dostępny i każdy niezaktualizowany system Windows 10 jest otwartą furtką dla atakujących.