SMBGhost的新PoC漏洞利用允许远程执行代码

　　Ricerca Security专家针对Windows10(CVE-2020-0796)中的蠕虫状漏洞创建了第一个PoC漏洞利用程序，该漏洞允许远程执行代码。

　　回想一下，该漏洞(也称为SMBGhost)会影响Microsoft Server Message Block 3.1.1(SMBv3)网络协议的版本，因此只有Windows 10(版本1903和1909)和服务器核心Windows Server安装(版本1903)容易受到攻击。和1909年)。

　　该问题使未经授权的攻击者可以在目标服务器或客户端上远程执行代码，该问题已由Microsoft上个月修复。要攻击SMBv3服务器，攻击者必须向他发送经过特殊配置的数据包。要攻击客户端，您首先需要配置恶意的SMBv3服务器，然后强制受害者连接到它。

　　在今年3月意外发现此漏洞后，出现了一些PoC漏洞，但它们不允许使用SMBGhost的所有功能。使用某些漏洞，您只能进行DoS攻击，在其他漏洞的帮助下，您可以在本地增加特权，但是直到最近还没有用于远程执行代码的漏洞。

　　正如Ricerca Security专家所解释的，这是由于以下事实：当攻击者可以使用有用的OS功能来启动用户空间中的进程，访问PEB和系统调用时，内核级别的远程操作与本地操作显着不同。但是，研究人员能够开发PoC漏洞，该漏洞可以通过SMBGhost远程执行代码。他们发布了技术说明和演示视频，但决定不在公共领域公开PoC漏洞，以防止它落入坏人之手。

　　强烈建议尚未安装CVE-2020-0796修复程序的系统管理员尽快执行此操作。通过SMBGhost远程执行代码的PoC漏洞已经存在，对于黑客来说只是时间问题。