SMBGhost 漏洞的PoC 已发布，攻击活动已现身

SMBGhost 漏洞也被称为 CoronaBlue，编号为 CVE-2020-0796，和 Server Message Block 3.0 (SMBv3) 相关，具体而言和 SMB 3.1.1 处理某些请求的方式有关。该缺陷影响 Windows 10 和 Windows Server，可被用于执行拒绝服务攻击、本地提权和任意代码执行攻击。

在针对 SMB 服务器的攻击活动中，攻击者需要向目标系统发动恶意数据包。在客户端情况下，黑客必须说服受害者连接到恶意 SMB 服务器。
研究人员已经创建了可用于扫描易受攻击的服务器的工具，并发布了实现DoS条件的PoC攻击。用于远程执行代码的PoC尚未公开，但是网络安全公司ZecOps已经开发并发布了PoC，该PoC展示了如何利用SMBGhost将特权提升到SYSTEM。

研究人员DanielGarcíaGutiérrez和Manuel BlancoParajón也提供了PoC，该PoC利用SMBGhost将特权提升为SYSTEM。

微软披露该漏洞时指出，CVE-2020-0796 是蠕虫式漏洞，因此非常危险。该公司在3月份发布补丁和应变措施。该漏洞披露后，研究人员开始发布 PoC exploit，不过仅能实现 DoS 或提权后果。多家公司和研究人员生成已经开发出可实现远程代码执行的 exploit，但并未公开。

然而，上周，一名网络昵称为 Chompie 的研究人员发布了可实现远程代码执行后果的 SMBGhost exploit。该研究员出于“教育目的”发布，表示网络安全公司 ZecOps 将在未来几天发布 PoC，而补丁已经存在数个月。Compie 表示该 PoC 并不可靠，常导致系统崩溃，但多名专家已证实称该远程代码执行 exploit 可运作。

上周五，CISA 建议用户和管理员安装补丁并通过防火墙拦截 SMB 端口，并警告称该漏洞已遭在野利用。CISA 表示，“尽管微软早在2020年3月就披露并提供漏洞更新，但恶意网络行动者通过最近发布的开原报告，利用新的 PoC 攻击未修复系统。”

研究人员此前曾警告称多款恶意软件已开始利用 SMBGhost 提权并在本地传播，但目前看似该漏洞也被用于执行远程代码。目前尚不知晓攻击具体是如何执行的。

MalwareMustDie 恶意软件研究团队报告称，最近发生的攻击活动还利用一款开源工具帮助用户识别服务器是否遭 SMBGhost 影响。