微软服务器漏洞,微软SMBv3客户端/服务端远程代码执行漏洞(CVE-2020-0796)技术分析...

最新推荐文章于 2024-03-13 09:41:56 发布
最新推荐文章于 2024-03-13 09:41:56 发布
阅读量508 收藏 1
点赞数
文章标签: 微软服务器漏洞

微软安全中心在北京时间3月12日23时发布了影响Windows 10 等系统用户的SMBv3远程代码执行漏洞补丁。我们建议受影响的用户尽快按微软更新信息指南安装该补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796。

同时,360Vulcan Team对该漏洞进行了快速分析,该漏洞属于高危的零接触远程代码执行漏洞,技术分析如下。

SMB漏洞分析

根本原因

漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法.最终导致整数溢出。

详细分析

SMB v3中支持数据压缩,如果SMB Header中的ProtocolId为0x424D53FC也就是0xFC, 'S', 'M', 'B'.那么就说明数据是压缩的,这时smb会调用压缩解压处理的函数.

首先SMB会调用srv2!Srv2ReceiveHandler函数接收smb数据包,并根据ProtocoIId设置对应的处理函数。

__int64 __fastcall Srv2ReceiveHandler(__int64 a1, void *Src, __int64 a3, unsigned int a4, unsigned int *a5, char *Srca, struct _SLIST_ENTRY *a7, _QWORD *a8)

{

...

//

// 这里判断头部ProtocolId

//

if ( **((_DWORD **)&v20[15].Next[1].Next + 1) == 'BMS\xFC' )

{

if ( KeGetCurrentIrql() > 1u )

{

v20[14].Next = (_SLIST_ENTRY *)v11;

v20[2].Next = (_SLIST_ENTRY *)Srv2DecompressMessageAsync;

v43 = HIDWORD(v20->Next) == 5;

*((_DWORD *)&v20[3].Next + 2) = 0;

if ( v43 )

{

LOBYTE(v71) = 1;

LOBYTE(v35) = 1;

SRV2_PERF_ENTER_EX(&v20[32].Next + 1, v35, 307i64, "Srv2PostToThreadPool", (_DWORD)v71);

}

v44 = *((_QWORD *)&v20[3].Next[8].Next + 1);

v45 = *(_QWORD *)(v44 + 8i64 * KeGetCurrentNodeNumber() + 8);

if ( !ExpInterlockedPushEntrySList((PSLIST_HEADER)(v45 + 16), v20 + 1) && *(_WORD *)(v45 + 66) )

RfspThreadPoolNodeWakeIdleWorker(v45);

goto LABEL_168;

}

}

}

从代码中我们可以看出如果是压缩的数据则调用Srv2DecompressMessageAsync函数进行解压缩.

srv2!Srv2DecompressMessageAsync会调用Srv2DecompressData函数.

结构如下:

typedef struct _COMPRESSION_TRANSFORM_HEADER

{

ULONG ProtocolId;

ULONG OriginalCompressedSegmentSize;

USHORT CompressionAlgorithm;

USHORT Flags;

ULONG Length;

}COMPRESSION_TRANSFORM_HEADER, *PCOMPRESSION_TRANSFORM_HEADER;

产生整数溢出漏洞的代码如下:

__int64 __fastcall Srv2DecompressData(__int64 pData){

__int64 v2; // rax

COMPRESSION_TRANSFORM_HEADER Header; // xmm0 MAPDST

__m128i v4; // xmm0

unsigned int CompressionAlgorithm; // ebp

__int64 UnComparessBuffer; // rax MAPDST

int v9; // eax

int v11; // [rsp+60h] [rbp+8h]

v11 = 0;

v2 = *(_QWORD *)(pData + 0xF0);

if ( *(_DWORD *)(v2 + 0x24) < 0x10u ) // 这里判断数据包长度的最小值

return 0xC000090Bi64;

Header = *(COMPRESSION_TRANSFORM_HEADER *)*(_QWORD *)(v2 + 0x18);// [v2+0x18]中为客户端传进来的Buffer

// [v2+0x24]为数据包长度

v4 = _mm_srli_si128((__m128i)Header, 8);

CompressionAlgorithm = *(_DWORD *)(*(_QWORD *)(*(_QWORD *)(pData + 0x50) + 0x1F0i64) + 0x8Ci64);

if ( CompressionAlgorithm != v4.m128i_u16[0] )

return 0xC00000BBi64;

UnCompressBuffer = SrvNetAllocateBuffer((unsigned int)(Header.OriginalCompressedSegmentSize + v4.m128i_i32[1]), 0i64);// OriginalCompressedSegmentSize + CompressedSegmentSize,这里没有检查相加的值,导致整数溢出,分配一个较小的UnCompressBuffer

if ( !UnComparessBuffer )

return 0xC000009Ai64;

if ( (int)SmbCompressionDecompress(

CompressionAlgorithm, // CompressionAlgorithm

*(_QWORD *)(*(_QWORD *)(pData + 0xF0) + 0x18i64) + (unsigned int)Header.Length + 0x10i64,// CompressedBuffer

(unsigned int)(*(_DWORD *)(*(_QWORD *)(pData + 0xF0) + 0x24i64) - Header.Length - 0x10),// CompressedBufferSize

(unsigned int)Header.Length + *(_QWORD *)(UnComparessBuffer + 0x18),// UncompressedBuffer,会传入SmbCompressionDecompress函数进行Decompress处理。

Header.OriginalCompressedSegmentSize,

&v11) < 0

|| (v9 = v11, v11 != Header.OriginalCompressedSegmentSize) )

{

SrvNetFreeBuffer(UnComparessBuffer);

return 0xC000090Bi64;

}

if ( Header.Length )

{

memmove(

*(void **)(UnComparessBuffer + 24),

(const void *)(*(_QWORD *)(*(_QWORD *)(pData + 240) + 24i64) + 16i64),

(unsigned int)Header.Length);

v9 = v11;

}

*(_DWORD *)(UnComparessBuffer + 36) = Header.Length + v9;

Srv2ReplaceReceiveBuffer(pData, UnComparessBuffer);

return 0i64;

}

通过上述代码我们可以看到,这个Header中的两个长度都没有进行检查.

下面是MS文档中对这两个长度的描述:

OriginalCompressedSegmentSize (4 bytes)

The size, in bytes, of the uncompressed data segment.

Offset/Length (4 bytes)

If SMB2_COMPRESSION_FLAG_CHAINED is set in Flags field, this field MUST be interpreted as Length. The length, in bytes, of the compressed payload. Otherwise, this field MUST be interpreted as Offset. The offset, in bytes, from the end of this structure to the start of compressed data segment.

随后在srv2!Srv2DecompressData函数中,会调用SmbCompressionDecompress,进而最终调用nt!RtlDecompressBufferXpressLz进行数据解压,调用路径如下:

ffff9480`20e2ad98 nt!RtlDecompressBufferXpressLz+0x2d0

ffff9480`20e2adb0 nt!RtlDecompressBufferEx2+0x66

ffff9480`20e2ae00 srvnet!SmbCompressionDecompress+0xd8

ffff9480`20e2ae70 srv2!Srv2DecompressData+0xdc

nt!RtlDecompressBufferXpressLz会在smb compress协议数据包里解析字段,其中包含需要Decompress buffer的大小,并和之前通过SrvNetAllocateBuffer分配的buffer的OriginalCompressedSegmentSize进行比较,确认其大小不大于OriginalCompressedSegmentSize,随后进行memcpy。

signed __int64 __fastcall RtlDecompressBufferXpressLz(_BYTE *a1, unsigned int a2, _BYTE *a3, unsigned int a4, __int64 a5, _DWORD *a6)

{

v9 = &a1[a2];

....

if ( &a1[v21] > v9 )

return 0xC0000242i64;

...

v33 = a1;

a1 += v21;

qmemcpy(v33, v23, v21);

}

如上伪代码所示,a1指向SrvNetAllocateBuffer分配的UncompressBuffer,a2的值为OriginalCompressedSegmentSize,v21的值为从smb数据包中解析的解压缩数据的大小,该值可由攻击者控制,若该大小大于OriginalCompressedSegmentSize,则会返回0xC0000242错误,由于之前对长度没有检查,如果我们传入一个很大的OriginalCompressedSegmentSize触发整数溢出,同时v21就可以设置一个极大值,而依然可以通过对decompress size的判断,最终调用qmemcpy拷贝一个极大的size导致缓冲区溢出。

补丁

微软的补丁就是在Srv2DecompressData里面对上述两个Length做了检查.

__int64 __fastcall Srv2DecompressData(__int64 a1){

//

//添加了对Header中Length的检查

//

if ( RtlULongAdd(Header.OriginalCompressedSegmentSize, Header2.Length, &pulResult) < 0 )

{

...

}

if ( pulResult > (unsigned __int64)(unsigned int)(*(_DWORD *)(v9 + 0x24) + 0x100) + 0x34 )

{

...

}

if ( RtlULongSub(pulResult, Header.Length, &pulResult) < 0 )

{

...

}

}

weixin_39524439
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows SMBv3 远程代码执行漏洞 (CVE-2020-0796 ).txt
05-15
Windows SMBv3 远程代码执行漏洞 (CVE-2020-0796 ).txtWindows SMBv3 远程代码执行漏洞 (CVE-2020-0796 ).txt
漏洞通告】微软SMBv3协议远程代码执行漏洞CVE-2020-0796)处置手册
爱国小白帽
03-14 2237
漏洞通告】微软SMBv3协议远程代码执行漏洞CVE-2020-0796)处置手册 原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 昨天 通告编号:NS-2020-0017-1 2020-03-13 TAG: SMBv3远程代码执行CVE-2020-0796 漏洞等级: 高,可导致远程代码执行,易被蠕虫利用传播恶意程序。 应急等级: 黄...
CVE-2020-0796漏洞复现
最新发布
m0_65764670的博客
03-13 409
漏洞为基于win10 1903基于底层smb的3.1.1版本漏洞("SMB"代表"Server Message Block",是一种用于在计算机之间共享文件、打印机和其他资源的通信协议),此漏洞靶机需开445端口,如未开445端口则无法进行实验。
漏洞复现】Windows SMB远程代码执行漏洞CVE-2020-0796
jennycisp的博客
09-11 301
2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能,攻击者利用该漏洞可在目标SMB Server或者Client执行任意代码
Windows SMBv3 客户端/服务器远程代码执行漏洞浅析
Jietewang的博客
03-23 938
Microsoft SMBv3远程代码执行漏洞浅析 前言 Microsoft通过Microsoft Server Message Block 3.1.1(SMBv3)协议处理某些请求的方式意识到了一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标SMB服务器SMB客户端执行代码。 ...
微软服务器安全补丁,Microsoft Windows SMB服务器安全更新(4013389)补丁 官方勒索病毒漏洞修复版(图文)...
weixin_35725654的博客
08-09 4312
软件介绍Microsoft Windows SMB服务器安全更新(4013389)补丁是一款微软官方Microsoft安全公告 MS17-010 - 严重Microsoft Windows SMB 服务器安全更新(4013389)勒索病毒修复文特别补丁,此安全更新程序修复了 Microsoft Windows 的多个漏洞。如果攻击者向 WindowsSMBv1 服务器发送特殊设计的消息,那么其...
CVE-2020-0796蓝屏POC 漏洞复现
ltt440888的博客
03-19 6303
微软SMBv3远程代码执行漏洞CVE-2020-0796) 1、漏洞描述 微软SMBv3远程代码执行漏洞SMB 3.1.1协议处理压缩消息时,对其数据没有经过安全检查,直接使用会引发内存破坏漏洞可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaC...
CVE-2020-0796-PoC-master.zip
06-11
SMB 3.1.1协议处理压缩消息时,对其数据没有经过安全检查,直接使用会引发缓冲区溢出,可能被攻击者利用远程执行任意代码SMBV3在通信过程默认启动压缩/解压缩机制。如下图所示,攻击者在SMB压缩转换包的...
CVE-2020-0796 POC 永恒之黑 POC SMBGhost POC
10-15
CVE-2020-0796 POC 利用SMBv3远程代码执行漏洞 POC 永恒之黑 POC SMBGhost POC 建议用户及时使用POC自查,如存在漏洞及时进行安全加固
永恒之黑(CVE-2020-0796 微软SMBv3协议远程代码执行漏洞
曹振国的博客
07-26 1962
文章目录一、漏洞简介:二、影响版本:三、实验环境:四、漏洞复现1.下载CVE-2020-0796漏洞扫描工具,对网段进行扫描2.蓝屏复现3.远程执行复现 一、漏洞简介: 3月12日,微软更新安全通告针对Windows SMBv3客户端/服务器远程代码执行漏洞紧急发布了安全补丁,确定该漏洞编号为CVE-2020-0796。 Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式存在代码执行漏洞。攻击者可以精心构造数据包发送到SMB服务器,无需经过身份
Office远程代码执行漏洞POC样本分析CVE-2017-11882)
zz_strive_2012的专栏
11-21 2376
2017年11月14日,微软发布了11月份的安全补丁更新,其比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞CVE-2017-11882)。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。 由于漏洞影响面较广,漏洞披露后,金睛安全研究团队持续对漏洞相关攻击事件进行关注。11月19日,监控
微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796复现
box
06-04 1345
容我先吐槽下 没错又是她——smb,windows的wodow。复现了我一天,踩了各种坑。 一、漏洞描述 漏洞公告显示,SMB 3.1.1协议处理压缩消息时,对其数据没有经过安全检查,直接使用会引发内存破坏漏洞可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。 二、受影响版本 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64
最新远程桌面漏洞CVE-2019-0708)简报
weixin_34345753的博客
06-05 327
漏洞信息2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞CVE-2019-0708(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708),此漏洞是预身份验证且无需用户交互(无需验证系统账户密码),这就意味着此漏洞能够通过网...
漏洞通告】Windows 网络文件系统漏洞CVE-2020-17051、CVE-2020-17056)
爱国小白帽
11-11 1164
原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天 通告编号:NS-2020-0066 2020-11-11 TA****G: Windows、CVE-2020-17051、CVE-2020-17056 漏洞危害: *攻击者利用漏洞,可实现远程代码执行。* 版本: **1.0 ** 1 漏洞概述 11月11日,绿盟科技监测到微软在11月月度补丁更新修复了两个存在于Windows 网络文件系统(Network File System)的漏
下列哪个选项不属于命令执行漏洞的危害_最新远程桌面漏洞CVE-2019-0708)简报...
weixin_39612554的博客
11-23 253
漏洞信息2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞CVE-2019-0708(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708),此漏洞是预身份验证且无需用户交互(无需验证系统账户密码),这就意味着此漏洞能够通过网络蠕虫的方式被利用。利...
cve-2020-0796漏洞逆向分析
11-21
漏洞存在于Windows 10版本1903和1909之间的SMBv3协议,攻击者可以利用此漏洞执行远程代码,从而控制受感染的系统。 对CVE-2020-0796漏洞进行逆向分析是为了深入了解其工作原理及漏洞利用的具体细节。逆向分析...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值