SMBGhost revient hanter les systèmes Windows 1903 et 1909

Pour rappel, cette vulnérabilité annoncée officiellement le 10 mars 2020 par Microsoft [2], affecte l’implémentation du protocole SMBV3 dans les systèmes Windows (clients et serveurs) en versions 1903 et 1909. Bousculé par des révélations relatives à cette vulnérabilité, Microsoft a tout d’abord recommandé de désactiver le mécanisme de compression introduit en version 3.1.1 afin d’éviter des exploitations sauvages.

Un correctif pour cette vulnérabilité a été publié le 12 mars 2020 par Microsoft dans son célèbre « Patch Tuesday ».

Les machines non patchées, dont le mécanisme de compression est activé par défaut, sont donc vulnérables à une exécution de code arbitraire à distance.

Le CERT-FR de l’ANSSI qui avait ouvert une alerte [3] sur ce sujet le 11 mars, l’a actualisée le 2 juin dernier, et pour cause, puisqu’un POC permettant une exécution de code arbitraire à distance par le biais d’un reverse shell a été rendu publique sur Github [4]. Une vidéo de démonstration a  également été publiée sur la chaîne Vimeo de Bleeping Computers  [5].

Le POC qui ne semble pas pouvoir être utilisé « clé en main » sur n’importe quelle version pour le moment puisque de nombreux utilisateurs sont confrontés à différentes erreurs lors de son exécution, risque néanmoins d’ouvrir de nouvelles portes très rapidement !

Les POCs pour la CVE-2020-0796 ne manquent pas, comme celui publié par Daniel García Gutiérrez et Manuel Blanco Parajón permettant de réaliser une élévation de privilège locale au niveau système [6] :

Ou encore les différents POCs permettant de réaliser un déni de service en crashant le système comme celui publié par le chercheur BaCde [7] :

Beaucoup plus « efficace » que celui proposé par la société Zecops [8] qui ne fonctionne que sur les versions 1903.

Côté détection, plusieurs scanner intéressants ont été publiés. Celui proposé par le chercheur Danois ollypwn [9] tout d’abord, simple et efficace :

x1n5h3n propose une version plus poussée [10], s’appuyant sur le scanner d’ollypwn ainsi que sur masscan [11] permettant de réaliser des scans en masse et d’exporter les résultats au format json.

Le script pour nmap proposé par pr4jwal [12] est également intéressant pour compléter sa boîte à outils :

Si vous ne saviez pas quoi faire, voici de quoi s’occuper…
1 : recenser les machines Windows en version 1903 et 1909
2 : vérifier qu’elles ne sont pas vulnérables
3 : patcher ! Si ce n’est pas fait
4 : désactiver la compression si les machines ne peuvent pas être patchées
5 : restreindre les accès SMB tant que possible
6 : ne pas oublier que des machines vulnérables pourraient apparaître dans le SIH dans un futur plus ou moins proches, avec pourquoi pas des dispositifs médicaux….

[1] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0796

[2] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200005

[3] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-008/

[4] https://github.com/chompie1337/SMBGhost_RCE_PoC

[5] https://vimeo.com/426301998

[6] https://github.com/danigargu/CVE-2020-0796

[7] https://github.com/insightglacier/SMBGhost_Crash_Poc

[8] https://blog.zecops.com/vulnerabilities/vulnerability-reproduction-cve-2020-0796-poc/

[9] https://github.com/ollypwn/SMBGhost

[10] https://github.com/x1n5h3n/SMBGhost

[11] https://github.com/robertdavidgraham/masscan

[12] https://github.com/pr4jwal/CVE-2020-0796