Опубликован эксплоит для уязвимости нулевого дня в Microsoft Windows


Uyazvimost protocolaВ протоколе SMBv3 (Server Message Block) обнаружена уязвимость нулевого дня, позволяющая вызвать отказ в обслуживании ОС Windows и потенциально выполнить произвольный код с привилегиями ядра. Проблема затрагивает ряд версий операционной системы, в том числе:

  • Windows 10;
  • Windows 8.1;
  • Windows Server 2012;
  • Windows Server 2016.


PoC-эксплоит для уязвимости опубликован на портале GitHub.

Проблема существует из-за некорректной обработки операционной системой Windows трафика с вредоносного SMB-сервера. В частности, Windows осуществляет некорректную обработку ответа сервера, содержащего слишком большое количество байт, следуя структуре, указанной в SMB2 TREE_CONNECT Response. Подключение уязвимого клиента Windows к вредоносному SMB-серверу приведет к ошибке в драйвере mrxsmb20.sys.

В настоящее время патч, исправляющий уязвимость, недоступен. В качестве временной меры для предотвращения эксплуатации проблемы эксперты рекомендуют блокировать исходящие SMB-соединения (порты TCP 139/445 и UDP 137/138).

В середине января нынешнего года группировкой Shadow Brokers был выставлен на продажу архив, содержащий хакерские инструменты и эксплоиты для уязвимостей в Windows, похищенные у связанной с АНБ группы Equation Group. Также в списке фигурирует эксплоит для уязвимости нулевого дня в протоколе SMB. Предполагается, что речь идет о проблеме, описанной выше. За данный эксплоит хакеры просят 250 биткойнов.


Обновлено (03.02.2017 21:57)