美国国土安全部网络安全和基础架构安全局(CISA)已警告Windows用户,最近发布的针对该漏洞的概念证明(PoC)漏洞已被滥用,该漏洞已被滥用以发起SMBGhost攻击。
SMBGhost,也称为CoronaBlue,跟踪为CVE-2020-0796,是与服务器消息块3.0(SMBv3)有关的漏洞,特别是与SMB 3.1.1如何处理某些请求有关的漏洞。该缺陷会影响Windows 10和Windows Server,并且可以被利用来进行拒绝服务(DoS)攻击,本地特权提升和任意代码执行。
在针对SMB服务器的攻击中,攻击者需要将恶意数据包发送到目标系统。对于客户端,黑客必须说服受害者连接到恶意SMB服务器。
微软在披露该漏洞时警告说它很容易被感染,这使其特别危险。该公司在三月份发布了补丁程序和解决方法。
研究人员在CVE-2020-0796披露后不久就开始发布PoC漏洞,但这些漏洞仅实现了DoS或特权提升。几家公司和研究人员声称已经开发了可实现远程代码执行的漏洞利用程序,但都没有公开。
但是,上周,使用在线绰号Chompie的研究人员发布了SMBGhost漏洞,用于远程执行代码。研究人员出于“教育目的”发布了该文档,认为网络安全公司ZecOps将在未来几天内发布其PoC,并且该补丁已经发布了几个月。
Chompie说,在PoC是不可靠的,它往往会导致系统崩溃,但一些专家已经证实,该远程执行代码漏洞的作品。
CISA周五建议用户和管理员使用防火墙安装SMBGhost补丁并阻止SMB端口,并警告该漏洞已被广泛利用。
CISA说: “尽管微软在2020年3月披露并提供了此漏洞的更新,但恶意的网络参与者正在利用新的PoC锁定未打补丁的系统。”
研究人员先前警告说,各种恶意软件已在利用SMBGhost 提升特权并在本地传播,但现在看来该漏洞也正在被利用以执行远程代码。似乎没有任何详细信息可用于攻击者的具体操作。
MalwareMustDie恶意软件研究小组报告说,最新的攻击还利用了一种开源工具,该工具可帮助用户识别受SMBGhost影响的服务器。