Un investigador de seguridad conocido en línea como Chompie ha compartido un código de explotación que funciona para la vulnerabilidad CVE-2020-0796 que logra la ejecución remota de código en máquinas con Windows 10.
CVE-2020-0796 (también conocido como SMBGhost, CoronaBlue, NexternalBlue, BluesDay o EternalDarkness) es una falla de ejecución de código pre-remota que reside en el protocolo de comunicación de red del Servidor Mensaje Bloque 3.0 (SMBv3).
La vulnerabilidad, que recibió una puntuación de calificación de gravedad máxima de 10 basada en CVSS v3, afecta a los dispositivos que ejecutan Windows 10, versión 1903 y 1909, y las instalaciones de Windows Server Server Core, versiones 1903 y 1909. Las versiones anteriores de Windows no se ven afectadas por esta vulnerabilidad .
Microsoft ha parcheado esta vulnerabilidad en marzo. En ese momento, la compañía advirtió que la explotación es "más probable" en las versiones de software más antiguas y más recientes.
Según Chompie, el exploit se basa en una lectura física primitiva. Esta primitiva puede permitir una explotación más fácil de futuros errores de corrupción de memoria SMB, explicó el investigador.
Sin embargo, el exploit no es 100% confiable, dijo el investigador.
“Fue escrito rápidamente y necesita algo de trabajo para ser más confiable. A veces eres BSOD. Usar esto para cualquier otro propósito que no sea la autoeducación es una idea extremadamente mala ”, se lee en la descripción publicada en GitHub.
Varios investigadores ya han creado herramientas públicas que se pueden utilizar para buscar servidores vulnerables y crear exploits de prueba de concepto (PoC) que pueden dar lugar a una condición DoS o permitir escalar privilegios a SYSTEM.
