Geschreven door: Securityteam

In samenwerking met pentester Martin Knuijsting


Er is een nieuwe kritieke kwetsbaarheid aan het licht gekomen die invloed heeft op de systemen van Windows en die van invloed is op de SMB-diensten. Deze worden gebruikt door de versies 1903 en 1909 van Windows 10 en Windows Server 2019. De omstandigheden waarin de kwetsbaarheid aan het licht kwam waren behoorlijk vreemd: Microsoft had de normale procedures niet gevolgd.

Omdat 2 partners van Microsoft (Cisco Talos en Fortinet) met deze informatie naar buiten kwamen was Microsoft gedwongen om de 0-Day exploit naar buiten te brengen. Vanwege deze vreemde omstandigheden heeft de security gemeenschap de kwetsbaarheid Corona-Blue oftewel SMBGhost genoemd.

Kwetsbaarheid in het SMB Protocol

Deze nieuwe kwetsbaarheid (CVE-2020-0796) is van invloed op de versie SMB v3.1.1 protocol. Dit is een Windows service die men gebruikt voor het op afstand delen van bestanden en printers.

De kwetsbaarheid is van toepassing op de manier waarop het protocol de gegevenscompressie verkeerd verwerkt. Dat kan als gevolg hebben dat een kwaadwillende in staat is om op afstand code uit te voeren op een kwetsbaar systeem, of kan de server laten crashen.

Als een crimineel de lading in een gecomprimeerde SMB-verbinding stopt en de client of server probeert de stream te decomprimeren, komen de door de aanvaller gecontroleerde gegevens in een geheugenbuffer terecht. Dit gebeurt zonder controle van de juiste grenzen. Het resultaat is een klassieke buffer overflow waarbij de code van de aanvaller in het geheugen op systeemniveau wordt uitgevoerd.

De fout treft zowel SMB-servers als SMB-clients, wat betekent dat een kwaadwillende zowel kwetsbare SMB-diensten kan aanvallen als zijn eigen kwaadaardige dienst kan opzetten. Daarmee kan hij nietsvermoedende gebruikers proberen te overtuigen om er verbinding mee te maken en proberen hun machines te comprimeren.

SMB Kwetsbaarheden in het verleden

Het meest opmerkelijke en recente voorbeeld van een SMB-kwetsbaarheid als deze was ETERNAL BLUE (CVE-2017-0144), wat leidde tot de WannaCry uitbraak in 2017.

WannaCry veroorzaakte het infecteren van meer dan 200.000 systemen wereldwijd, had gevolgen voor meer dan 150 landen en kostte ongeveer 3,7 biljoen euro aan financiële schade. Deze twee kwetsbaarheden zijn vergelijkbaar en het is waarschijnlijk dat aanvallers zullen proberen om SMBGhost op dezelfde manier te gebruiken.

De kwetsbaarheid is ‘wormable’, wat betekent dat malware kan worden ontworpen om gecompromitteerde systemen andere systemen aan te vallen, om zich zo dieper te verspreiden binnen netwerken. De kwetsbaarheid kan zich dus zonder interactie van gebruikers verspreiden over het internet.

PoC: Corona-Blue

Onze pentesters zijn achter dit exploit aangegaan om te kijken of we de PoC  (Proof-of-Concept) konden realiseren.

Na gebruik van de juiste scanner en gegevens van de exploit, konden we de PoC nabootsen. Met andere ethical hackers zijn we gaan brainstormen om de methode verder uit te breiden. In eerste instantie wilden we Windows laten crashen, maar een RCE (Remote Code Execution) is veel beter. Zo wilden we proberen het systeem te compromitteren. Dit lukte niet, maar door meerdere payloads te proberen zijn we wel op een andere fout in het SMB protocol gestuit. 

Deze fout betrof een klassieke buffer overflow in de SMB service. We hebben een nieuwe PoC opgezet om dit uit te proberen op de laatste versie van Windows 10. Uit deze PoC is gebleken dat het daadwerkelijk laten crashen van windows, met deze fout in het protocol, mogelijk was. We hebben contact opgenomen met Microsoft om onze bevindingen te delen, aangezien dit niet alleen met de 1903 en 1909 build van Windows werkt. Microsoft had vlak daarvoor het verzoek ingediend om de laatste updates te installeren die een paar dagen daarvoor zijn uitgebracht. Daarna was het niet meer mogelijk om Windows te laten crashen.

Alsnog blijven we verder onderzoeken of we hetzelfde voor elkaar kunnen krijgen met de laatst geïnstalleerde updates.

Zorg dat u niet kwetsbaar bent

Dit geeft opnieuw aan hoe belangrijk het voor uw organisatie is om tijdig updates door te voeren. Met een kwetsbaarheid als deze kan uw organisatie  grote financiële schade oplopen. Zorg dan ook voor een goed update beleid, waarbij frequent updates worden geïnstalleerd op kritische systemen. 

Om er zeker van te zijn dat uw netwerk zo min mogelijk kwetsbaarheden bevat, is het scannen van uw systemen noodzakelijk. Tijdens deze scan worden kwetsbaarheden blootgelegd en krijgt u handvatten hoe u uw netwerk beter te beveiligen tegen incidenten. Onze pentesters hebben de juiste kennis en kunde in huis om u hierbij van dienst te zijn. Zij zullen zorgvuldig uw netwerk scannen op kwetsbaarheden en u voorzien van een duidelijk advies waarmee u direct aan de slag kunt. 

Meer weten

Wil u meer informatie over onze pentesten of vulnerability scans? Kijk dan even op onze diensten pagina. Of bel direct met onze medewerkers via: 020 7881030, zij zijn u graag van dienst.


Deel artikel via: