Trang chủ Bảo mật cơ bản Lỗ hổng thực thi mã từ xa trong giao thức SMBv3 (PoC)

Lỗ hổng thực thi mã từ xa trong giao thức SMBv3 (PoC)

bởi 3sThủThuật

3sthuthuat – Lỗ hổng thực thi mã từ xa trong giao thức SMBv3 (PoC). Trong bản vá Patch Tuesday công bố tới người dùng ngày 12 tháng 3. Microsoft đã phát hành bản cập nhật phần mềm khẩn cấp để vá lỗ hổng nguy hiểm. Giao thức

3sthuthuat – Lỗ hổng thực thi mã từ xa trong giao thức SMBv3(PoC). Trong bản vá Patch Tuesday công bố tới người dùng ngày 12 tháng 3. Microsoft phát hành bản cập nhật phần mềm khẩn cấp vá lỗ hổng nguy hiểm. Giao thức SMBv3, kẻ tấn công phát tán mã độc tự động lây lan giữa các máy tính.

CVE-2020-0796 là lỗ hổng thực thi mã từ xa ảnh hưởng Win10 ver 1903 và 1909. Windows Server version 1903 và 1909.

SMB (Server Message Block) chạy trên cổng 445. Là một giao thức mạng hỗ trợ việc chia sẻ file, duyệt mạng, in.

Cách thức SMBv3 xử lý các truy vấn của tính năng nén dữ liệu phần header (compression header). Cho phép kẻ tấn công từ xa thực thi mã độc trên máy chủ. Máy khách với đặc quyền trên cả hệ thống.

Compression header là tính năng bổ sung vào giao thức bị ảnh hưởng của các hệ điều hành. Dùng để nén các thư trao đổi giữa máy chủ và máy khách.

Theo Microsoft, để khai thác lỗ hổng trên máy chủ. Kẻ tấn công gửi một gói dữ liệu độc hại tới máy chủ SMBv3. Để tấn công người dùng, hacker cần cấu hình một máy chủ SMBv3. Chứa mã độc và lừa người dùng kết nối tới server đó.

Mức độ nghiêm trọng, lỗ hổng này có mức độ nguy hiểm như lỗ hổng Eternal Blue. Giao thức SMB bị tin tặc khai thác để phát tán ransomware WannaCry năm 2017.

Trong những ngày đầu tiên khi lỗ hổng này được công bố. PoC bảo mật cơ bản được công bố, máy tính bị tấn công từ chối dịch vụ, crash hệ thống.

Gần đây, một nhà nghiên cứu bảo mật tiết lộ chi tiết mã khai thác cho lỗ hổng. Cách thức thực hiện rất dễ dàng khiến hàng nghìn máy tính bị khai thác. POC bảo mật cơ bản này được công khai trên Github.

PoC của lỗ hổng thực thi mã từ xa trong giao thức SMBv3 được công bố
PoC của lỗ hổng thực thi mã từ xa trong giao thức SMBv3 được công bố


Để khai thác, thông tin cần nhập vào là địa chỉ IP để khai thác. Windows 10 của bạn phải ngay lập tức cập nhập bản vá tháng 3 (KB4551762).
Kiểm tra hệ thống đã cài đặt bản vá này hay chưa, các bạn sử dụng lệnh:

PoC của lỗ hổng thực thi mã từ xa trong giao thức SMBv3 được công bố

Kết quả là PC này chưa cài đặt bản vá cho lỗ hổng. Dẫn tới thiết bị này có thể bị khai thác.

Bạn cũng có thể thích

Để lại bình luận

Comment moderation is enabled. Your comment may take some time to appear.