آژانس امنیت سایبری و زیرساختهای امنیتی وزارت امنیت داخلی آمریکا از انتشار یک بهرهبرداری اثبات مفهومی جدید برای آسیبپذیری SMBGhost به کاربران ویندوز هشدار داد. آسیبپذیری SMBGhost که با نام CoronaBlue نیز شناخته میشود، با شناسهی CVE-2020-0796 ردیابی شده و مربوط بهServer Server Block Block 3.0 (SMBv3) و به ویژه، نحوهی بهکارگیری برخی درخواستهای خاص توسط SMB 3.1.1 است. این آسیبپذیری که ویندوز ۱۰ و ویندوز سرور را تحت تأثیر قرار میدهد، میتواند برای راهاندازی حملات منع سرویس، افزایش امتیاز محلی و اجرای کد دلخواه مورد بهرهبرداری قرار بگیرد.
در حمله به سرورهای SMB، مهاجم نیاز دارد بستههای مخرب را به سیستم هدف ارسال کند. اما در مورد کلاینتها، نفوذگر باید قربانی را برای اتصال به یک سرور مخرب SMB متقاعد کند. هنگامی که مایکروسافت این آسیبپذیری را فاش کرد، هشدار داد که این نقص از نوع wormable است و این موضوع، آن را بسیار خطرناکتر میکند. این شرکت در ماه مارس این آسیبپذیری را وصله کرد.
محققان اندکی پس از آن، بهرهبرداریهای اثبات مفهومی را برای آسیبپذیری CVE-2020-0796 منتشر کردند، اما این بهرهبرداریها تنها به شرایط منع سرویس و افزایش امتیاز محدود شد. بااینحال، اخیرا محققان بهرهبرداری اثبات مفهومی برای آسیبپذیری SMBGhost بهمنظور اجرای کد از راه دور را نیز منتشر کردهاند.
حال، آژانس امنیت سایبری و زیرساختهای امنیتی به کاربران و مدیران توصیه کرده است تا وصلههای SMBGhost را نصب كرده و درگاههای SMB را با استفاده از یک فایروال مسدود كنند. این سازمان همچنین هشدار داده است که این آسیب پذیری در دنیای واقعی مورد بهرهبرداری قرار گرفته است.