SMBGhost : pourquoi il faut absolument patcher

Avez-vous bien pensé à patcher SMBGhost ?

Voilà près de trois mois que cette faille dans le protocole réseau SMBv3 est publique.

Microsoft avait livré un correctif dans le cadre du Patch Tuesday de mars. Et attribué à la vulnérabilité le score de criticité maximal. En cause, l'éventualité d'une exécution de code à distance, sur Windows 10 (1903 et 1909, éditions desktop et serveur).

Les exploits publiés dans les jours suivant la révélation de SMBGhost (CVE-2020-0796) ne permettaient pas d'activer ce levier. Ils avaient pour conséquence une élévation de privilèges et/ou un déni de service (BSOD).

Our Telltale research team will be sharing new insights into CVE-2020-0796 soon. Until then, here is a quick DoS PoC our researcher @MalwareTechBlog created. The #SMB bug appears trivial to identify, even without the presence of a patch to analyze. https://t.co/7opHftyDh0 @2sec4u pic.twitter.com/0H7FYIxvne

- Kryptos Logic (@kryptoslogic) March 12, 2020

Depuis lors, la faille a servi de vecteur de propagation pour des logiciels malveillants comme le trojan Ave Maria.

2020-05-30:??🔥 #AVE_MARIA aka #Warzone RAT| #Signed ????GO ONLINE d.o.o.
1?Spreading locally via #SMBGhost & UAC Win7 bypass
2?Fixes RDP connection access
3?Add PowerShell execution permission
Another malware developer fan
MD5:70397406A4D41D637FC7D60EC7CAA78D
h/t @malwrhunterteam pic.twitter.com/RbZltd0fIM

- Vitali Kremez (@VK_Intel) May 30, 2020

SMBGhost atteint son plein potentiel

Des entreprises de cybersécurité se sont essayées à développer des exploits qui permettent l'exécution de code à distance (RCE).

ZecOps en fait partie. Après les avoir gardés pendant plusieurs semaines, la firme américaine envisagerait de révéler sous peu les fruits de ses recherches.

C'est dans ce contexte qu'une chercheuse a décidé de publier son propre exploit RCE.
Sa particularité : il se fonde sur une primitive de lecture.
Celle-ci pourrait faciliter l'exploitation ultérieure d'autres problèmes similaires dans SMBv3 (corruption de mémoire), en supprimant la nécessité d'une fuite d'informations préalable.

It seems that ALOT of people are interested in the #SMBGhost CVE-2020-0796 RCE PoC source. Since @ZecOps will be releasing theirs in the coming days, and the bug has been patched for months, I think its OK to release for educational purposes. Find it here:https://t.co/6rA7yPCkeA https://t.co/NVkyKu6UMf

- chompie (@chompie1337) June 2, 2020

Publié « à des fins éducatives », l'exploit ne produit pas des résultats parfaits, essentiellement en raison des accès DMA sur la pile TCP/IP. Il semble fonctionner particulièrement bien sur Windows 10 1903.