SMBleed informatielek uitgevoerd met gebruik van SMBGhost Remote Code Execution voor Microsoft SMBv3
CVE-2020-0796
CVE-2020-1206
Bronnen
https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/
https://nvd.nist.gov/vuln/detail/CVE-2020-0796
https://nvd.nist.gov/vuln/detail/CVE-2020-1206
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
Risico’s
De CVE-2020-1206 (SMBleed) kwetsbaarheid stelt een aanvaller in staat om op afstand informatie te lekken.
Dit kan worden uitgevoerd met behulp van een command shell die is verkregen via CVE-2020-0796 (SMBGhost), waardoor
een aanvaller de tweede aanval kan uitvoeren om informatie te lekken.
Beschrijving
Er is een Proof-of-Concept uitgebracht (door het ZecOPS-onderzoeksteam) over hoe een kwetsbaarheid omtrent informatieontsluiting binnen het SMBv3-protocol, die een impact heeft op Windows-servers of -clients, kan worden geactiveerd.
Eerder dit jaar, werd reeds CVE-2020-0796 ontdekt die het mogelijk maakt om code op afstand uit te voeren vanwege de manier waarop Microsoft Server Message Block 3.1.1 omgaat met zijn connecties die gebruik maken van compressie.
Binnen dezelfde functie Srv2DecompressData in de SMB server driver werd een nieuwe kwetsbaarheid ontdekt.
Om CVE-2020-1206 te exploiteren zou een aanvaller toegangsgegevens en een locatie die beschrijfbaar is nodig hebben.
Door de fout die elk bericht zou beïnvloeden, zou het potentieel kunnen worden geëxploiteerd zonder authenticatie. Dit leidt tot het lekken van kernel informatie uit het geheugen van de geïmpacteerde systemen.
Er werden patches uitgebracht om deze kwetsbaarheden op te lossen.
Aanbevolen acties
CERT.be raadt aan om alle laatste updates voor de betreffende Windows-versies te installeren, deze zijn te vinden op de officiële Microsoft Portal. De juiste update voor de Remote Code Execution vindt u hier en voor de Information Disclosure vulnerability vindt u hier.