Patch para a falha crítica que permite que o malware se espalhe pelas máquinas sem qualquer interação do usuário foi lançado meses atrás
Embora a Microsoft tenha lançado um patch para a vulnerabilidade crítica de SMBGhost no protocolo Server Message Block (SMB) em março, mais de 100 mil máquinas continuam suscetíveis a ataques que exploram a falha. Esta vulnerabilidade de execução remota de código (RCE) wormable pode permitir que hackers espalhem malware entre as máquinas sem a necessidade de interação do usuário.
A gravidade do bug que afeta o Windows 10 e o Windows Server (versões 1903 e 1909) deveria ter convencido todos a corrigirem suas máquinas imediatamente. No entanto, de acordo com Jan Kopriva, que divulgou suas descobertas nos Fóruns ISC Infosec do SANS, esse parece não ser o caso.
“Não tenho certeza de qual método Shodan usa para determinar se uma determinada máquina é vulnerável ao SMBGhost, mas se seu mecanismo de detecção for preciso, parece que ainda existem mais de 103 mil máquinas afetadas acessíveis a partir da internet. Isso significaria que uma máquina vulnerável se esconde atrás de aproximadamente 8% de todos os IPs que têm a porta 445 aberta”, disse Kopriva.
A vulnerabilidade SMBGhost, rastreada como CVE-2020-0796, é classificada como crítica e possui a pontuação de 10.0 no CVSS (Common Vulnerability Scoring System, ou sistema de pontuação comum de vulnerabilidades). Após a descoberta, a falha foi considerada tão grave que, em vez de lançar uma correção como parte de seu pacote usual de Patch Tuesday, a Microsoft lançou um patch fora da banda.
“Para explorar a vulnerabilidade contra um servidor, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 de destino. Para explorar a vulnerabilidade contra um cliente, um invasor não autenticado precisaria configurar um servidor SMBv3 malicioso e convencer um usuário a se conectar a ele”, disse a Microsoft ao lançar o patch.
Isso foi em março, e exploits publicamente disponíveis logo surgiram, embora tenham alcançado “apenas” o aumento de privilégios locais. Três meses depois, no entanto, a primeira prova de conceito (PoC) para alcançar o RCE foi lançada, imediatamente recebendo atenção generalizada. Até mesmo a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA notou e publicou um aviso informativo de que os agentes de ameaças mal-intencionadas estavam usando a PoC para explorar a vulnerabilidade e direcionar os sistemas sem patch.
Também é importante notar que o SMBGhost pode ser usado em conjunto com outra vulnerabilidade que afeta o protocolo SMBv3 — SMBleed. De acordo com os pesquisadores do ZecOps que descobriram a última falha, um cibercriminoso que pode combinar as duas vulnerabilidades pode obter a execução remota de código de pré-autenticação. Apesar de óbvio, administradores e usuários que ainda não corrigiram seus sistemas seriam bem aconselhados a fazê-lo o quanto antes.
