Опубликован эксплоит для уязвимости нулевого дня в Microsoft Windows
В протоколе SMBv3 (Server Message Block) обнаружена уязвимость нулевого дня, позволяющая вызвать отказ в обслуживании ОС Windows и потенциально выполнить произвольный код с привилегиями ядра. Проблема затрагивает ряд версий операционной системы, в том числе Windows 10, 8.1, Server 2012 и Server 2016. PoC-эксплоит для уязвимости опубликован на портале GitHub.
Проблема существует из-за некорректной обработки операционной системой Windows трафика с вредоносного SMB-сервера. В частности, Windows осуществляет некорректную обработку ответа сервера, содержащего слишком большое количество байт, следуя структуре, указанной в SMB2 TREE_CONNECT Response. Подключение уязвимого клиента Windows к вредоносному SMB-серверу приведет к ошибке в драйвере mrxsmb20.sys, сообщается в предупреждении специалистов US-CERT.
В настоящее время патч, исправляющий уязвимость, недоступен. В качестве временной меры для предотвращения эксплуатации проблемы эксперты рекомендуют блокировать исходящие SMB-соединения (порты TCP 139/445 и UDP 137/138).
В середине января нынешнего года группировка Shadow Brokers выставила на продажу архив, содержащий хакерские инструменты и эксплоиты для уязвимостей в Windows, похищенные у связанной с АНБ группы Equation Group. В числе прочих в списке фигурирует эксплоит для уязвимости нулевого дня в протоколе SMB. По всей видимости, речь идет о проблеме, описанной выше. За данный эксплоит хакеры просят 250 биткойнов. Несмотря на предыдущие заявления о намерении отойти от дел, участники группировки не теряют надежду заработать на похищенных инструментах для взлома.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш