欢迎来到 无奈人生 安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Windows SMBv3 Tree Connect响应拒绝服务漏洞

来源: 作者: 时间:2019-02-24 19:29 点击: 我要投稿
广告位API接口通信错误,查看德得广告获取帮助

近期,微软爆出高危 SMB TreeConnect 响应拒绝服务漏洞,编号为CNNVD-201702-204(CVE-2017-0016)。攻击者利用该漏洞通过诱使有漏洞的 SMB 客户端连接到一台恶意构造的 SMB 服务器,导致客户端操作系统系统蓝屏崩溃。为了让大家更直观的了解漏洞造成的危害,千里目安全实验室倾力打造漏洞演示视频供大家观赏。
千里百科Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的,用于在计算机间共享文件、打印机等。漏洞分析
在演示环境中,首先搭建一个恶意的 SMB 服务器(图左),诱使客户端(图右)发起请求:

客户端发起请求,导致系统蓝屏崩溃:

根据漏洞复现,导致系统崩溃的情况,找到错误日志:

进一步追踪,查看崩溃时内存转储信息:

经分析调试发现,此时上图中参数 rcx 为 0,是空指针,当 SMBv3 Tree Connect 应答字符超过一定数量的时候,导致此空指针引用异常,引发系统蓝屏崩溃。
漏洞影响
据统计,在 1 月份全球 PC 操作系统市场上,微软 Windows 系统占据了九成以上份额,其中最新的 Windows 10 的份额突破了 25%,这意味着在每四台电脑上,就有一台运行了微软最新、最强大的 Windows 10 操作系统。此漏洞主要影响 Windows Server 2012/2016、Win8/8.1 以及 Win10 系统。攻击者伪装成一个恶意 SMB 服务器,诱使客户端发起 SMB 请求来触发漏洞,导致客户端拒绝服务。
POC:https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect漏洞修复建议
1、此漏洞存在于 SMB 客户端(mrxsmb20.sys),已公开的 POC 可以导致系统崩溃,并且微软尚未发布补丁。攻击者可以通过 445 等远程端口,或中间人攻击,或网页诱骗用户点击触发漏洞。千里目安全实验室建议企业客户可以将本地网络至广域网的外传 SMB 连接屏蔽掉(TCP 139/445 端口、以及 UDP 137/138 端口)。
2、使用深信服下一代防火墙的用户请升级 IPS 规则库到 20170207 及其以上版本,可轻松防御针对此漏洞的攻击。
 

近期,微软爆出高危 SMB TreeConnect 响应拒绝服务漏洞,编号为CNNVD-201702-204(CVE-2017-0016)。攻击者利用该漏洞通过诱使有漏洞的 SMB 客户端连接到一台恶意构造的 SMB 服务器,导致客户端操作系统系统蓝屏崩溃。为了让大家更直观的了解漏洞造成的危害,千里目安全实验室倾力打造漏洞演示视频供大家观赏。
千里百科Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的,用于在计算机间共享文件、打印机等。漏洞分析
在演示环境中,首先搭建一个恶意的 SMB 服务器(图左),诱使客户端(图右)发起请求:

客户端发起请求,导致系统蓝屏崩溃:
copyright 无奈人生
根据漏洞复现,导致系统崩溃的情况,找到错误日志:

进一步追踪,查看崩溃时内存转储信息:

经分析调试发现,此时上图中参数 rcx 为 0,是空指针,当 SMBv3 Tree Connect 应答字符超过一定数量的时候,导致此空指针引用异常,引发系统蓝屏崩溃。
漏洞影响
据统计,在 1 月份全球 PC 操作系统市场上,微软 Windows 系统占据了九成以上份额,其中最新的 Windows 10 的份额突破了 25%,这意味着在每四台电脑上,就有一台运行了微软最新、最强大的 Windows 10 操作系统。此漏洞主要影响 Windows Server 2012/2016、Win8/8.1 以及 Win10 系统。攻击者伪装成一个恶意 SMB 服务器,诱使客户端发起 SMB 请求来触发漏洞,导致客户端拒绝服务。 内容来自无奈安全网
POC:https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect漏洞修复建议
1、此漏洞存在于 SMB 客户端(mrxsmb20.sys),已公开的 POC 可以导致系统崩溃,并且微软尚未发布补丁。攻击者可以通过 445 等远程端口,或中间人攻击,或网页诱骗用户点击触发漏洞。千里目安全实验室建议企业客户可以将本地网络至广域网的外传 SMB 连接屏蔽掉(TCP 139/445 端口、以及 UDP 137/138 端口)。
2、使用深信服下一代防火墙的用户请升级 IPS 规则库到 20170207 及其以上版本,可轻松防御针对此漏洞的攻击。
 

内容来自无奈安全网

。 (责任编辑:admin)
【声明】:无奈人生安全网(http://www.wnhack.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱472701013@qq.com,我们会在最短的时间内进行处理。
上一篇:QEMU高危漏洞可执行任意代码 影响国内多家公有云平台 返回网站首页】【进入网站论坛
下一篇:Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-3241
  • 本类最新更新
    • 本类推荐内容
      • 本类热点内容
        • 最近下载