El mes pasado, Microsoft lanzó un parche de Windows para una vulnerabilidad de seguridad ( CVE-2020-0796 ) que afecta el protocolo del Bloque de mensajes del servidor de Microsoft (SMB). El error, denominado SMBGhost o EternalDarkness, podría permitir que un atacante ejecute remotamente código malicioso en computadoras vulnerables.
El problema es una falla de ejecución de código pre-remota que reside en el protocolo de comunicación de red Server Message Block 3.0 (SMBv3). Afecta a los dispositivos que ejecutan Windows 10, versión 1903 y 1909, y las instalaciones de Windows Server Server Core, versiones 1903 y 1909. Las versiones anteriores de Windows no se ven afectadas por esta vulnerabilidad.
Según la firma de ciberseguridad Kryptos Logic, hay alrededor de 48,000 servidores conectados a Internet vulnerables a los ataques que explotan la falla CVE-2020-0796.
Varios investigadores ya han creado herramientas públicas que se pueden usar para buscar servidores vulnerables y crear exploits de prueba de concepto (PoC) que pueden provocar una condición DoS. Ahora los expertos en seguridad de la empresa de seguridad cibernética ZecOps han publicado un código PoC para demostrar que esta vulnerabilidad puede ser explotada para escalar privilegios a SYSTEM.
“El error es un error de desbordamiento de enteros que ocurre en la función Srv2DecompressData en el controlador del servidor SMB srv2.sys. Logramos demostrar que la vulnerabilidad CVE-2020-0796 puede ser explotada para la escalada de privilegios locales. Tenga en cuenta que nuestro exploit está limitado para un nivel de integridad medio, ya que se basa en llamadas API que no están disponibles en un nivel de integridad inferior ", escribieron los investigadores.
Los expertos también agregaron que aún no han podido encontrar una manera de activar la ejecución remota de código. Los detalles técnicos para la escalada de privilegios locales se proporcionan en la descripción de ZecOps aquí .
https://www.cybersecurity-help.cz/blog/1045.html
