在TCP端口445上运行的服务器消息块协议(SMB协议)是一种客户端-服务器通信协议,用于共享对文件,打印机,网络浏览以及网络上进程间通信的访问。

ZecOps 的安全研究人员发现了一个新的严重漏洞“ SMBleed’  影响服务器消息块( 中小型企业 )协议,它可能允许攻击者远程泄漏内核内存,并与先前披露的“可蠕虫” RCE漏洞结合使用( SMBGhost ),允许攻击者获得对SMB服务器或客户端的RCE控制。

该漏洞存在于SMB的解压缩功能中,该功能是相同的(Srv2DecompressData)在srv2.sys SMB服务器驱动程序中 SMBGhost 或有时称为“永恒的黑暗的漏洞(CVE-2020-0796),在 微软的补丁2020年3月,星期二,这可能会使易受攻击的Windows系统受到恶意软件攻击,这些恶意软件攻击可能会在整个网络中传播并立即感染其他计算机。在处理压缩数据包时,在SMBv3.1.1协议中发现了此缺陷。

尽管微软已经发布了  SMBGhost 补丁 对于所有受影响的版本,安全研究人员最近推出了一个与SMBGhost相关的新的严重漏洞,该漏洞被称为“ SMBleed ‘。


SMBleed 漏洞:

  • SMBleed 被跟踪为“ CVE-2020-1206 ’,并且获得的最高严重等级为10。与SMBGhost链接在一起,攻击者可以实现身份验证前的远程代码执行。
  • 该缺陷主要来自减压(Srv2DecompressData) 函数处理特制的消息请求(例如  SMB2写 )发送到目标SMBv3服务器。
  • 消息结构包含字段,例如要写入的字节数和标志,后跟可变长度缓冲区。这是利用该漏洞的完美之选,因为我们可以编写一条消息以指定标头,但可变长度缓冲区包含未初始化的数据。”根据ZecOps研究人员的说法。
  • 要利用服务器上的此漏洞, 未经身份验证的攻击者 可以将恶意制作的数据包发送到易受攻击的SMBv3服务器。而如果目标作为客户端运行,则攻击者将必须配置恶意的SMBv3服务器并诱使用户连接到该服务器。
  • 成功利用此漏洞可能使攻击者能够读取未初始化的内核内存并修改压缩功能。

使用SMBleed和SMBGhost实现远程代码执行:

  • 尽管可以实现未经认证的SMBleed开发,但“不太简单”。因此,他们预先将SMBleed和SMBGhost链接在一起,以获得未经身份验证的RCE,这可以预见ZecOps研究人员。
  • 他们尚未公开有关将两个漏洞链接在一起的任何技术细节。但是,他们确实分享了一个  PoC  以及显示他们获得RCE的GIF。

图片来源:   ZecOps

所有这些消息都是在上周SMBGhost漏洞利用代码在  PoC 。网络安全和基础设施安全局(CISA) 建议用户 立即更新其Windows 10计算机。


影响

利用这些漏洞可能使远程攻击者可以使用未修补的SMBv3服务器/客户端在目标系统上访问敏感信息或执行任意代码。


受影响的产品

  • Windows 10版本1903
    • 32/64位系统
    • 基于ARM64的系统
    • 服务器核心安装
  • Windows 10版本1909
    • 32/64位系统
    • 基于ARM64的系统
    • 服务器核心安装
  • Windows 10版本2004
    • 32/64位系统
    • 基于ARM64的系统
    • 服务器核心安装

解决方案

Microsoft已按月发布了针对SMBleed的安全修复程序 2020年6月补丁星期二更新.

SanerNow  检测到此漏洞并通过应用安全更新自动修复它。下载  SanerNow  并保持系统更新和安全。


来源: //www.secpod.com/blog/a-critical-vulnerability-smbleed-impacts-windows-smb-protocol/