SMBGhost 漏洞 CVE-2020-0796 的PoC 已发布，攻击现身

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

美国国土安全部网络安全和基础设施安全局 (CISA) 向 Windows 用户发出警告信息称，最近发布的 SMBGhost 漏洞 PoC 已被滥用于发动攻击活动。

SMBGhost 漏洞也被称为 CoronaBlue，编号为 CVE-2020-0796，和 Server Message Block 3.0(SMBv3) 相关，具体而言和 SMB 3.1.1 处理某些请求的方式有关。该缺陷影响 Windows 10 和 Windows Server，可被用于执行拒绝服务攻击、本地提权和任意代码执行攻击。

在针对 SMB 服务器的攻击活动中，攻击者需要向目标系统发动恶意数据包。在客户端情况下，黑客必须说服受害者连接到恶意 SMB 服务器。

微软披露该漏洞时指出，CVE-2020-0796 是蠕虫式漏洞，因此非常危险。该公司在3月份发布补丁和应变措施。该漏洞披露后，研究人员开始发布 PoC exploit，不过仅能实现 DoS 或提权后果。多家公司和研究人员生成已经开发出可实现远程代码执行的 exploit，但并未公开。

然而，上周，一名网络昵称为 Chompie 的研究人员发布了可实现远程代码执行后果的 SMBGhost exploit。该研究员出于“教育目的”发布，表示网络安全公司 ZecOps 将在未来几天发布 PoC，而补丁已经存在数个月。

Compie 表示该 PoC 并不可靠，常导致系统崩溃，但多名专家已证实称该远程代码执行 exploit 可运作。

上周五，CISA 建议用户和管理员安装补丁并通过防火墙拦截 SMB 端口，并警告称该漏洞已遭在野利用。

CISA 表示，“尽管微软早在2020年3月就披露并提供漏洞更新，但恶意网络行动者通过最近发布的开原报告，利用新的 PoC 攻击未修复系统。”

研究人员此前曾警告称多款恶意软件已开始利用 SMBGhost 提权并在本地传播，但目前看似该漏洞也被用于执行远程代码。目前尚不知晓攻击具体是如何执行的。

MalwareMustDie 恶意软件研究团队报告称，最近发生的攻击活动还利用一款开源工具帮助用户识别服务器是否遭 SMBGhost 影响。

 

推荐阅读

微软3月补丁星期二最值得注意的是CVE-2020-0684和神秘0day CVE-2020-0796

原文链接

https://www.securityweek.com/smbghost-attacks-spotted-following-release-code-execution-poc

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ，加油鸭~