Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Mamy exploit LPE na podatności CVE-2020-0796 w Windows 10!

Kapitan Hack / Cybernews / Mamy exploit LPE na podatności CVE-2020-0796 w Windows 10!

W sieci pojawił się exploit na podatność SMBv3 (CVE-2020-0796) umożliwiający podniesienie lokalnych uprawnień konta do uprawnień SYSTEM. Poniżej prezentujemy szczegóły i zalecamy wszystkim jak najszybsze załatanie komputerów z systemem Windows 10.

Autor: 2 min czytania

Na czym polega podatność?

W wielkim skrócie. Błąd występuje w implementacji funkcji Srv2DecompressData w sterowniku srv2.sys Związany jest z przepełnieniem w buforze liczb całkowitych. Luka może zostać uruchomiona, gdy serwer SMB otrzyma zniekształcony nagłówek SMB2_Compression_Transform_Header. Problem dotyczy najnowszej wersji SMBv3 czyli Microsoft Server Message Block 3.1.1.

Autorzy exploita wykorzystują w kodzie (napisanym w C++) podatność SMB wysyłając zniekształcony pakiet negocjacyjny, a następnie poprzez wstrzyknięcie specjalnego kodu do pamięci i podczepiając się pod proces winlogon.exe przejmują uprawnienia do Systemu.

Po udanym wykonaniu kodu exploita na systemie Windows otrzymujemy uprawnienia powłoki „NT AUTHORITY\SYSTEM”, czyli najwyższych uprawnień w systemie.

Wykonanie exploita przedstawiliśmy na poniższym nagraniu.

Podatność SMB może również zostać wykorzystana przez rożne robaki w sieci w celu szybkiego rozprzestrzeniania się. Podobna sytuacja miała miejsce w roku 2017, w którym ransomware WannaCry wykorzystał lukę w zabezpieczeniach serwera SMB CVE-2017-0144 infekując ponad 200 000 komputerów i powodując miliardy dolarów całkowitych szkód.


Jak sobie poradzić z problemem?

Firma Microsoft wydała niedawno poprawkę CVE-2020-0796 na tą krytyczną lukę. Pamiętajmy, że nieuwierzytelniony atakujący może także wykorzystać tę lukę, aby spowodować uszkodzenie pamięci, co może doprowadzić do zdalnego wykonania kodu. Zabezpieczeniem tego problemu może być wyłączenie funkcji kompresji dla protokołu SMBv3. Zalecamy wszystkim do jak najszybszego załatania komputerów z systemem Windows 10.


Wersje Windows podatne na zagrożenie
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

W środę 9 października użytkownicy platformy Microsoft Azure na całym świecie doświadczyli poważnych zakłóceń. Wiele usług stało się niedostępnych, a administratorzy nie mogli nawet zalogować się do portalu...
4 min czytania 10 paź 2025 08:00
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Niedawno załatana wysoce poważna luka w zabezpieczeniach VMware jest wykorzystywana jako zero-day od października 2024 roku do wykonywania kodu z podwyższonymi uprawnieniami. Taką informacją podzieliło się w...
4 min czytania 6 paź 2025 09:22
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Splunk opublikował ważne informacje, dotyczące szeregu nowych podatności w swoich produktach Splunk Enterprise i Splunk Cloud Platform. Luki mogą umożliwić atakującym wykonanie nieautoryzowanego kodu Ja...
7 min czytania 3 paź 2025 07:06
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.