Cara eksploitasi kerentanan SMBGhost yang bisa mencapai remote-code-execution pada mesin Windows 10 sekarang tersedia untuk publik.
Kerentanan yang dilacak sebagai CVE-2020-0796 merupakan kerentanan kritis dalam Microsoft Server Message Block (SMB 3.1.1).
Tingkat keparahan kerentanan SMBGhost dinilai kritis
Dikenal dengan berbagai nama (SMBGhost, CoronaBlue, NexternalBlue, BluesDay), kelemahan keamanan dapat dimanfaatkan oleh penyerang yang tidak terotentikasi untuk menyebarkan malware dari satu sistem rentan ke sistem yang lain tanpa interaksi dari penggunanya.
SMBGhost memengaruhi Windows 10 versi 1909 dan 1903, termasuk Server Core. Microsoft memperbaikinya pada bulan Maret, yang juga memperingatkan bahwa eksploitasi mungkin terjadi pada rilisan perangkat lunak yang lebih lawas serta yang lebih baru dan tingkat keparahannya dinilai sangat kritis dengan skor keparahan maksimum 10.
Yang penyerang perlu lakukan untuk mengeksploitasinya hanya dengan mengirim paket khusus ke server SMBv3 yang ditargetkan. Hasilnya akan mirip dengan serangan WannaCry dan NotPetya dari 2017, yang menggunakan eksploitasi EternalBlue untuk SMB v1.
Kode eksploitasi SMBGhost
Setelah kerentanan diketahui publik pada bulan Maret, para peneliti keamanan mulai menemukan cara untuk mengeksploitasi SMBGhost tetapi hasilnya terbatas hanya pada local privilege escalation (LPE) dan denial of service (blue screen).
Hampir tiga bulan sejak Microsoft merilis perbaikan, seorang peneliti keamanan yang menggunakan nickname Chompie di Twitter membagikan versi eksploitasi remote-code-execution untuk SMBGhost kepada publik.
Kode yang ia buat bertujuan untuk membantu orang lain memperluas pengetahuan mereka di bidang reverse-engineering. “Itu ditulis dengan cepat dan perlu beberapa pekerjaan lagi agar lebih maksimal,” kata peneliti dalam file readme repository-nya.
Chompie memberi tahu bahwa eksploitasi ini bekerja dengan performa paling baik pada Windows 10 1903 dan banyak orang berhasil mengeksploitasi kerentanan pada versi ini.
Eksploitasi dari Chompie untuk SMBGhost bukanlah satu-satunya. Perusahaan keamanan siber pemula ZecOps juga mengumumkan pada bulan April bahwa mereka menciptakan eksploit yang berfungsi ketika digabung dengan kerentanan infoleak.
Pada hari yang sama, perusahaan keamanan siber Ricerca Security mengatakan bahwa memperoleh RCE tidak mudah namun memberikan bukti bahwa itu mungkin bisa terjadi. Mereka juga mempublikasikan rincian teknis yang menjelaskan strategi dan metode yang dapat digunakan untuk mengeksploitasi SMBGhost.
Namun, kedua perusahaan menahan diri dari mempublikasikan eksploitasi yang sebenarnya. Pada 26 April, ZecOps mengatakan bahwa mereka akan menerbitkan kode setelah pembaruan Windows berikutnya. Chompie mengatakan bahwa itu akan terjadi pada hari-hari berikutnya, yang juga merupakan alasan dia memutuskan untuk mempublikasikan penelitiannya.
