Embora a Microsoft tenha lançado um patch para a vulnerabilidade crítica SMBGhost no protocolo Server Message Block (SMB) em março, mais de 100.000 computadores continuam suscetíveis a ataques que exploram a falha. Essa vulnerabilidade de execução remota de código (RCE) pode permitir que cibercriminosos propaguem malware entre os dispositivos sem a necessidade de interação do usuário.
A gravidade da falha que afeta o Windows 10 e o Windows Server (versões 1903 e 1909) já é um fator determinante para que os usuários atualizem (com o patch) seus computadores imediatamente. No entanto, de acordo com Jan Kopriva, quem divulgou as descobertas nos fóruns SANS ISC Infosec, esse não parece ser o caso.
“Não tenho certeza qual método o Shodan usa para definir se um determinado computador é vulnerável ao SMBGhost, mas se seu mecanismo de detecção for preciso, aparentemente ainda existem mais de 103.000 dispositivos vulneráveis a partir da Internet. Isso significaria que um computador vulnerável se esconde atrás de aproximadamente 8% de todos os IPs que têm a porta 445 aberta”, disse Kopriva.
A vulnerabilidade SMBGhost, rastreada como CVE-2020-0796, é classificada como crítica e possui a pontuação de 10 na escala Common Vulnerability Scoring System (CVSS). Após a descoberta, a falha foi considerada tão grave que, em vez de lançar uma correção como parte de seu pacote usual do Patch Tuesday, a Microsoft lançou um patch de emergência.
“Para aproveitar a vulnerabilidade contra um servidor, um atacante não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3 de destino. Para explorar a vulnerabilidade contra um cliente, um atacante não autenticado precisa configurar um servidor SMBv3 malicioso e convencer um usuário a se conectar a ele”, destacou a Microsoft ao lançar o patch.
Isso ocorreu em março, e, logo em seguida, surgiram exploits disponíveis publicamente, embora tenham alcançado "apenas" uma escalada de privilégios locais. No entanto, três meses depois, a primeira prova de conceito (PoC) para alcançar o RCE foi lançada, o que provocou um alerta generalizado sobre o SMBGhost. Até mesmo a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) publicou em junho deste ano uma advertência, na qual destacava que cibercriminosos estavam usando a PoC para explorar a vulnerabilidade e direcionar ataques aos sistemas sem patch.
Também é importante notar que o SMBGhost pode ser usado em conjunto com outra vulnerabilidade que afeta o protocolo SMBv3 - por exemplo, o SMBleed, uma vulnerabilidade corrigida em junho deste ano. De acordo com os pesquisadores da ZecOps, que descobriram a última falha, um cibercriminoso que consegue combinar as duas vulnerabilidades pode obter a execução remota de código de pré-autenticação.
O ideal é que tanto os administradores quanto os usuários instalem o patch para que a vulnerabilidade seja corrigida o quanto antes.