SMBGhost : pourquoi il faut absolument patcher

SMBGhost patcher

Un nouvel exploit pour SMBGhost vient d’émerger. Sa particularité : il peut permettre de tirer parti du plein potentiel de la faille.

Avez-vous bien pensé à patcher SMBGhost ?

Voilà près de trois mois que cette faille dans le protocole réseau SMBv3 est publique.

Microsoft avait livré un correctif dans le cadre du Patch Tuesday de mars. Et attribué à la vulnérabilité le score de criticité maximal. En cause, l’éventualité d’une exécution de code à distance, sur Windows 10 (1903 et 1909, éditions desktop et serveur).

Les exploits publiés dans les jours suivant la révélation de SMBGhost (CVE-2020-0796) ne permettaient pas d’activer ce levier. Ils avaient pour conséquence une élévation de privilèges et/ou un déni de service (BSOD).

Depuis lors, la faille a servi de vecteur de propagation pour des logiciels malveillants comme le trojan Ave Maria.

SMBGhost atteint son plein potentiel

Des entreprises de cybersécurité se sont essayées à développer des exploits qui permettent l'exécution de code à distance (RCE).

ZecOps en fait partie. Après les avoir gardés pendant plusieurs semaines, la firme américaine envisagerait de révéler sous peu les fruits de ses recherches.

C'est dans ce contexte qu'une chercheuse a décidé de publier son propre exploit RCE.
Sa particularité : il se fonde sur une primitive de lecture.
Celle-ci pourrait faciliter l'exploitation ultérieure d'autres problèmes similaires dans SMBv3 (corruption de mémoire), en supprimant la nécessité d'une fuite d'informations préalable.

Publié « à des fins éducatives », l'exploit ne produit pas des résultats parfaits, essentiellement en raison des accès DMA sur la pile TCP/IP. Il semble fonctionner particulièrement bien sur Windows 10 1903.