Exploitcode voor kritiek SMBv3-lek in Windows 10 en Server online verschenen

[Captain Kirk]

Op internet is exploitcode verschenen voor een kritieke kwetsbaarheid in Windows 10 en Windows Server waarvoor Microsoft in maart een beveiligingsupdate uitbracht. Via het beveiligingslek, dat de naam SMBGhost heeft gekregen, kan een aanvaller zowel op servers als clients code uitvoeren.

Om een kwetsbare server over te nemen volstaat het voor een aanvaller om een speciaal geprepareerd pakket naar een SMBv3-server te sturen. Vervolgens zou de aanvaller deze server zo kunnen instellen dat het mogelijk is om ook op alle clients die verbinding maken willekeurige code uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de ernst is de kwetsbaarheid beoordeeld met een 10.

Op 12 maart publiceerde Microsoft een beveiligingsupdate voor de kwetsbaarheid, die de CVE-code CVE-2020-0796 heeft. Destijds waarschuwde securitybedrijf Tenable al dat een computerworm misbruik van de kwetsbaarheid zou kunnen maken. Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid laat nu weten dat er exploitcode online is verschenen die aanvallers via de kwetsbaarheid willekeurige code laat uitvoeren en dat kwetsbare systemen inmiddels met de exploit worden aangevallen.

Het CISA baseert zich hierbij op open bronnen. De overheidsinstantie adviseert organisaties om de update zo snel als mogelijk te installeren. In de praktijk blijkt dat organisaties dit niet altijd doen. Zo maakte de WannaCry-ransomware misbruik van een SMB-kwetsbaarheid waarvoor al twee maandenlang een update beschikbaar was.

 

bron: security.nl