Demo khai thác lỗ hổng CVE 2020-0796 trên Windows 10

Các nhà nghiên cứu bảo mật của Ricerca Security vừa công bố PoC khai thác lỗ hổng thực thi mã từ xa CVE 2020-0796 (RCE) trên Windows 10. RCE được đánh giá là lỗi nghiêm trọng cao nhất trong kiểm thử ứng dụng/phần mềm.
Lỗ hổng này còn gọi là SMBGhost được phát hiện từ đầu tháng 3/2020 nằm trong giao thức SMBv3, và ảnh hưởng đến các phiên bản Windows 10, Core Windows Server, version 1903 và 1909.

​

Bên cạnh đó, một vài thông tin cho rằng lỗi SMBGhost bị rò rỉ sau khi bản vá Patch Tuesday của tháng trước được công bố. Một số security Vendors thuộc Microsoft Active Protections Program đã vô tình để lộ thông tin lỗ hổng dù Microsoft đã quyết định giữ kín và không đưa ra bất kì khuyến cáo bảo mật nào.
Các nhà nghiên cứu bảo mật Ricerca Security đã quyết định không công khai các đoạn mã khai thác lỗ hổng để tránh bị các script kiddies quấy phá và tội phạm mạng lợi dụng, tuy nhiên họ công bố writeup mô tả kĩ thuật đằng sau việc khai thác lỗ hổng này để các chuyên gia an ninh mạng nghiên cứu.

​

Ngăn chặn càng sớm càng tốt
Nếu bạn chưa cập nhật các hệ thống Windows 10 của mình để ngăn chặn lỗi CVE-2020-0796, hãy làm điều này càng sớm càng tốt để ngăn các cuộc tấn công có thể xảy ra với chính máy chủ của mình.
Tuy nhiên nếu không thể cập nhật vào lúc này, bạn nên vô hiệu hóa giao thức SMBv3 bằng lệnh PowerShell (run as Administrator) và không cần khởi động lại:
Mở powershell run as administrator và run 2 lệnh bên dưới

Mã:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
gpupdate /force

Hoặc có thể tắt port 445 trên máy chủ hay sử dụng firewall để chặn port này nếu không sử dụng.
Nguồn tham khảo Bleepingcomputer