2020年3月11日��,微軟在3月的安全更新中發(fā)布了一個(gè)位于Server Message Block 3.1.1(SMBv3)網(wǎng)絡(luò)通信協(xié)議的遠(yuǎn)程代碼執(zhí)行漏洞����,漏洞編號(hào)為CVE-2020-0796�����,但并未在更新中修復(fù)此漏洞���。次日�����,微軟發(fā)布CVE-2020-0796專項(xiàng)補(bǔ)丁��。成功利用此漏洞的攻擊者能夠在目標(biāo)服務(wù)器或客戶端上執(zhí)行任意代碼,類似“永恒之藍(lán)”漏洞�,該漏洞存在被惡意代碼利用進(jìn)行大范圍傳播的風(fēng)險(xiǎn),威脅等級(jí)高�。
該漏洞是由于SMBv3協(xié)議中處理壓縮消息時(shí)未進(jìn)行嚴(yán)格安全檢查所導(dǎo)致的。針對(duì)服務(wù)器�����,攻擊者可以通過(guò)發(fā)送特制數(shù)據(jù)包至目標(biāo)服務(wù)器以利用此漏洞;針對(duì)客戶端����,攻擊者可以通過(guò)配置惡意SMBv3服務(wù)器,并誘使用戶連接到該服務(wù)器以利用此漏洞����。目前有網(wǎng)友已經(jīng)在Github上公開了該漏洞的檢測(cè)工具。
主要受影響的Windows版本如下: ●Windows 10 Version 1903 for 32-bit Systems ●Windows 10 Version 1903 for x64-based Systems ●Windows 10 Version 1903 for ARM64-based Systems ●Windows Server, Version 1903 (Server Core installation) ●Windows 10 Version 1909 for 32-bit Systems ●Windows 10 Version 1909 for x64-based Systems ●Windows 10 Version 1909 for ARM64-based Systems ●Windows Server, Version 1909 (Server Core installation) SMB 3.1.1協(xié)議出現(xiàn)時(shí)間較晚��,由Windows 10 1903引入(2019年5月)����。此協(xié)議涉及的模塊包括mrxsmb20.sys、srv2.sys�����、srvnet.sys等�。此次問(wèn)題和永恒系列一樣,也是出現(xiàn)在srv2.sys這個(gè)文件中���。
在SMB 3.1.1協(xié)議中�,引入了數(shù)據(jù)壓縮傳輸?shù)母拍睿郧竽軌蛱岣邆鬏斝?��。但在解壓縮時(shí)�,由于考慮不嚴(yán)謹(jǐn)導(dǎo)致出現(xiàn)此次問(wèn)題�,而修補(bǔ)后的代碼加入了長(zhǎng)度范圍驗(yàn)證,具體對(duì)比如下: 
圖 4-1 產(chǎn)生溢出漏洞的代碼 
圖 4-2 打補(bǔ)丁后的代碼 srv2.sys文件中負(fù)責(zé)解壓縮的代碼使用函數(shù)SrvNetAllocateBuffer(srvnet.sys)申請(qǐng)內(nèi)存����,內(nèi)存長(zhǎng)度由傳輸數(shù)據(jù)(詳見下文)中OriginalSize和Offset相加得到。
圖 4-3 產(chǎn)生溢出漏洞的代碼 SMB2協(xié)議中關(guān)于壓縮類型數(shù)據(jù)包定義如下圖: 
圖 4-4 SMB2_COMPRESSION_TRANSFORM_HEADER 從上圖可以看到����,此數(shù)據(jù)包目前只存在于SMB 3.1.1中。 申請(qǐng)的內(nèi)存長(zhǎng)度類型為unsigned int�,傳輸數(shù)據(jù)中OriginalSize和offset也都是unsigned int 類型。如沒(méi)有進(jìn)行范圍驗(yàn)證�,則可能產(chǎn)生溢出。 在調(diào)試中產(chǎn)生溢出的代碼上下文如下圖所示�����。 
圖 4-5 windbg調(diào)試漏洞代碼 微軟已經(jīng)發(fā)布了針對(duì)該漏洞的補(bǔ)丁����,可通過(guò)微軟官網(wǎng)下載相應(yīng)補(bǔ)丁并安裝更新(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762)。
安天建議通過(guò)安天智甲一鍵掃描漏洞并下載補(bǔ)丁進(jìn)行修復(fù)�����。
圖5-1 安天智甲檢測(cè)漏洞 安天針對(duì)此漏洞發(fā)布了免疫工具���,使用此工具可禁用SMBv3壓縮功能���,以阻止攻擊者對(duì)CVE-2020-0796漏洞的利用,同時(shí)也可以通過(guò)工具下載相應(yīng)補(bǔ)丁�����,修復(fù)漏洞��。可訪問(wèn)安天創(chuàng)意論壇下載本工具:
下載鏈接:https://bbs./forum.php?mod=viewthread&tid=83848 掃描二維碼 進(jìn)入安天創(chuàng)意 論壇下載工具 
圖5-2 CVE-2020-0796免疫工具 另外也可通過(guò)以下PowerShell命令暫時(shí)禁用SMBv3壓縮功能:(1)禁用命令:Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters' DisableCompression -Type DWORD -Value 1 -Force (2)啟用命令:Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters' DisableCompression -Type DWORD -Value 0 -Force 執(zhí)行后無(wú)需重啟�,但此種方式無(wú)法防護(hù)針對(duì)SMB客戶端的攻擊。 針對(duì)企業(yè)網(wǎng)絡(luò)管理員的建議對(duì)于企業(yè)網(wǎng)絡(luò)管理員�����,若企業(yè)IDS設(shè)備支持snort規(guī)則�����,可通過(guò)添加以下snort規(guī)則來(lái)實(shí)現(xiàn)對(duì)SMBv3壓縮通信的監(jiān)測(cè):alert tcp any any -> any 445 (msg:'Windows SMBv3 Client/Server Remote Code Execution Vulnerability CVE-2020-0796'; content:' |FC|SMB'; offset: 0; depth: 10; sid:9000001; rev:1.0; reference:url, portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796;reference:url, www.catalog.update.microsoft.com/Search.aspx?q=KB4551762;)alert tcp any 445 -> any any (msg:'Windows SMBv3 Client/Server Remote Code Execution Vulnerability CVE-2020-0796'; content:'|FC|SMB'; offset: 0; depth: 10; sid:9000002; rev:1.0; reference:url, portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796;reference:url, www.catalog.update.microsoft.com/Search.aspx?q=KB4551762;)[1]CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 [2]Microsoft Update Catalog https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762
|
