SMBGhost漏洞允许Windows系统上的特权升级

微软表示,该漏洞已于3月12日通过带外更新进行了修补,可以利用该漏洞在SMB客户端和服务器上执行远程代码。严重漏洞被描述为“可蠕虫的”,与SMB 3.1.1处理某些请求的方式有关,会影响Windows 10和Windows Server 1903和1909版。

在针对SMB服务器的攻击中,攻击者需要将特制数据包发送到目标系统。对于客户端,攻击者必须说服目标用户连接到恶意SMBv3服务器。

研究人员已经创建了可用于扫描易受攻击的服务器的工具,并发布了实现DoS条件的PoC攻击。用于远程执行代码的PoC尚未公开,但是网络安全公司ZecOps已经开发并发布了PoC,该PoC展示了如何利用SMBGhost将特权提升到SYSTEM。

研究人员DanielGarcíaGutiérrez和Manuel BlancoParajón也提供了PoC,该PoC利用SMBGhost将特权提升为SYSTEM。

SMBGhost LPE

ZecOps还发布了一篇博客文章,其中包含有关本地特权升级的技术详细信息

在披露CVE-2020-0796之后不久,网络安全公司Kryptos Logic进行了一次扫描,结果发现存在大约48,000台易受SMBGhost攻击的服务器。

Windows用户可以通过应用Microsoft共享的变通办法和缓解措施或安装官方补丁程序来保护自己免受潜在的攻击。但是,一些用户抱怨包含该修补程序的Windows更新引起了问题。

 

*编译:Domino

*来自:securityweek