Эксперты показали первый RCE-эксплойт для бреши SMBGhost в Windows 10

Эксперты показали первый RCE-эксплойт для бреши SMBGhost в Windows 10

Команда исследователей из Ricerca Security разработала эксплойт для червеподобной уязвимости в системах Windows, а также продемонстрировала его работу на видео. С помощью этого PoC-кода можно выполнить код удалённо.

Получившая идентификатор CVE-2020-0796 брешь также известна экспертам в области кибербезопасности под именем SMBGhost. Она затрагивает протокол Microsoft Server Message Block 3.1.1 (SMBv3).

Проблема безопасности была актуальна для систем Windows 10 версии 1903 и 1909, однако Microsoft в середине марта выпустила соответствующий внеплановый патч, устраняющий уязвимость.

«Атакующий, успешно использовавший эту брешь, может выполнить код на целевом сервере или личном компьютере. Чтобы атаковать сервер, злоумышленник должен отправить ему специальный пакет. В случае с клиентом преступнику придётся поднять собственный SMBv3-сервер и заставить жертву подключиться к нему», — описывала Microsoft принцип SMBGhost.

Ранее исследователи уже публиковали коды эксплойтов (например, Дэниел Гарсия и Мануэль Бланко), однако ни один из них не демонстрировал возможность выполнить код удалённо.

«Скорее всего, никто не показал RCE-эксплойты по причине их существенного отличия от обычного локального выполнения кода. Ведь в случае удалённой атаки злоумышленник не сможет задействовать полезные функции операционной системы», — объясняет команда Ricerca Security.

Специалисты, однако, написали код эксплойта и поделились видео, на котором можно наблюдать процесс эксплуатации уязвимости SMBGhost.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы Maze утверждают, что взломали Xerox и выкрали 100 Гб файлов

Крупнейшая американская корпорация Xerox Corporation стала очередной жертвой операторов программы-вымогателя Maze. Киберпреступники заявили, что 25 июня им удалось зашифровать файлы одного из лидеров в области технологии печати.

Сам техногигант не подтвердил, но и не опроверг факт атаки. Есть, однако, скриншоты, которые сделали сами атакующие, — судя по ним, Maze удалось зашифровать компьютеры по меньшей мере в одном домене Xerox.

24 июня на специальном сайте операторов Maze, где публикуются данные об утечках, в списке жертв появилась корпорация Xerox. Злоумышленники утверждали, что им удалось взломать сеть компании.

Как и в случае с другими утечками, киберпреступники не балуют общественность деталями взлома. Единственное, что публикуют — пруфы.

По словам атакующих, им удалось выкрасть более 100 Гб внутренних файлов Xerox. Всю собранную информацию операторы Maze собираются опубликовать, если корпорация не заплатит выкуп.

В подтверждение своих слов злоумышленники выложили набор из десяти скриншотов, на которых виден список директорий и записка с требованиями выкупа. Если Xerox заплатит, преступники обещают удалить все украденные файлы и выслать дешифратор, который вернёт все файлы в первоначальное состояние.

 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru