cve20200796_微软SMBv3Client/Server远程代码执行漏洞简单分析（CVE20200796）

本文为看雪论坛优秀文章看雪论坛作者ID&＃xff1a;有毒北京时间2020年03月11日&＃xff0c;互联网中泄漏了关于CVE-2020-0796的相关信息。在此前的微软3月份例行补丁日更新中&＃xff0c;无意中泄漏了该漏洞的存在。该漏洞影响组件为SMBv3&＃xff0c;在Windows 10 1903和Windows Server 1903之后的版本中存在&＃xff0c;影响范围较广。目前尚未发现可利用EXP&＃xff0c;但已有crash的PoC&＃xff0c;需要积极应对。此外&＃xff0c;该漏洞具有蠕虫传播特性&＃xff0c;可以轻松进行蠕虫传播&＃xff0c;需要高度重视。一、SMBv3组件介绍SMB&＃xff0c;服务器消息块&＃xff0c;是一个网络通信协议&＃xff0c;用于提供共享访问到文件、打印机和串行端口的节点之间的网络上。它还提供了经过身份验证的进程间通信机制。SMB的大多数用法涉及运行Microsoft Windows的计算机&＃xff0c;在引入Active Directory(https://en.wikipedia.org/wiki/Active_Directory)之前被称为“ Microsoft Windows网络” 。相应的Windows服务是用于服务器组件的LAN Manager服务器和用于客户端组件的LAN Manager工作站。Windows 10和Windows Server 2016引入了SMB 3.1.1 。除了在SMB3中添加的AES-128 CCM加密外&＃xff0c;该版本还支持AES-128 GCM加密&＃xff0c;并使用SHA-512哈希实现预认证完整性检查。当使用SMB 2.x和更高版本连接到客户端时&＃xff0c;SMB 3.1.1还添加了必须进行的安全协商步骤。在SMBv3中&＃xff0c;有一项数据压缩功能&＃xff0c;可以通过SMB进行压缩数据的传输。此次漏洞触发点就位于压缩数据的过程中。二、漏洞信息和描述

>>>>

1、漏洞文件

漏洞存在于srv2.sys文件中。

>>>>

2、漏洞函数

该漏洞涉及到了多个函数&＃xff1a;

• Srv2DecompressMessageAsync
• Srv2DecompressData
• Smb2GetHonorCompressionAlgOrder
• Smb2SelectCompressionAlgorithm
• Smb2ValidateCompressionCapabilities

三、漏洞分析

>>>>

1、基础数据结构

这里主要看一下SMB2 COMPRESSION_TRANSFORM_HEADER结构&＃xff1a;首先&＃xff0c;说明了结构使用的场景&＃xff1a;客户端或服务器在发送压缩消息时使用SMB2 COMPRESSION_TRANSFORM_HEADER。此可选标头仅对SMB 3.1.1 dialect有效。可以通过以下链接查看SMB 3.1.1 dialect(https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/a64e55aa-1152-48e4-8206-edd96444e7f7#Appendix_A_69)也就是说&＃xff0c;在进行压缩数据传输时&＃xff0c;底层使用的是SMB2的COMPRESSION_TRANSFORM_HEADER&＃xff0c;但是会有SMB 3.1.1 dialect的验证特征。然后&＃xff0c;对以上各字段做简要说明&＃xff1a;CompressionAlgorithms字段中指定的算法&＃xff1a;Flags字段可选的固定值&＃xff1a;了解了以上数据结构&＃xff0c;可以方便PoC构造和观察流量特征。

>>>>

2、静态分析

srv2.sys文件拖入IDA&＃xff0c;先观察函数实现&＃xff1a;(1)SMB首先调用srv2!Srv2ReceiveHandler函数接收数据包&＃xff0c;并根据ProtocolId设置对应的处理函数&＃xff1a;如果判断数据包中为压缩的数据(ProtocolID &＃61; 0xfc4d5342)&＃xff0c;则调用处置函数--Srv2DecompressMessageAsync函数。(2)srv2!Srv2DecompressMessageAsync函数会继续调用 Srv2DecompressData函数&＃xff1a;Srv2DecompressMessageAsync函数并不是实际处理压缩数据的函数&＃xff0c;而是继续调用了Srv2DecompressData函数&＃xff0c;跟进查看Srv2DecompressData函数&＃xff1a;在Srv2DecompressData函数中可以看到数据处理的部分&＃xff1a;在进行buffer分配时&＃xff0c;会调用SrvNetAllocateBuffer进行分配。但是在调用时&＃xff0c;并未对OriginalCompressedSegmentSize和Offset/Length的长度进行任何检查&＃xff0c;对二者相加的和也未进行安全检查。此处就存在一个整数溢出&＃xff0c;如果二者的和为一个特别大的值&＃xff0c;会超出内存存储范围&＃xff0c;值会变成一个很小的值。(3)srv2!Srv2DecompressData函数调用SmbCompressionDecompress函数&＃xff0c;进而调用nt!RtlDecompressBufferXpressLz函数进行实际的数据解压过程。nt!RtlDecompressBufferXpressLz函数位于ntoskrnl.exe中&＃xff0c;该函数实际进行的处理就是&＃xff1a;由上面的代码可以看到在进行数据解压缩时&＃xff0c;首先进行smb compress协议数据包的解析&＃xff0c;获取其中包含的需要解压缩的数据的大小&＃xff0c;并和之前通过SrvNetAllocateBuffer分配的buffer的OriginalCompressedSegmentSize值进行比较&＃xff0c;确认其大小不大于OriginalCompressedSegmentSize&＃xff0c;然后进行内存拷贝。若v21大于OriginalCompressedSegmentSize&＃xff0c;则返回0xC0000242错误。因为在2中进行内存分配时没有做长度检查&＃xff0c;所以如果传入一个很大的OriginalCompressedSegmentSize值触发整数溢出。此时v21就可以设置一个极大值&＃xff0c;但可以通过对decompress size的判断&＃xff0c;最终调用qmemcpy拷贝一个极大的size导致缓冲区溢出。

>>>>

3、crash的PoC复现

首先是靶机只是开机&＃xff0c;未登录的状态&＃xff1a;直接执行PoC&＃xff0c;可以成功执行&＃xff1a;正常登录后的执行&＃xff0c;只是正常登录&＃xff0c;并未进行任何文件或文件夹的共享设置&＃xff1a;同样可以造成蓝屏&＃xff1a;所以&＃xff0c;不管存在漏洞的系统是否登录、是否开启了共享&＃xff0c;都可以正常执行PoC。联想到EXP&＃xff0c;只要可以获取到受影响系统的IP地址&＃xff0c;即可进行漏洞攻击。

>>>>

4、PoC代码分析

考虑到PoC尚未大范围传播&＃xff0c;此处不放出完整代码&＃xff0c;只对关键代码进行解释&＃xff1a;

// 设置头部\xfc\x53\x4d\x42// 设置OriginalCompressedSegmentSize字段&＃xff0c;此值为多少&＃xff0c;后续就要跟多少填充数据\x32\x00\x00\x00// 设置CompressionAlgorithm字段&＃xff0c;确定使用的压缩算法\x01\x00// 设置Flags字段\x00\x00// 设置Offset/Length字段\xff\xff\xff\xff其中主要的是要OriginalCompressedSegmentSize &＃43; Offset/Length 可以产生溢出&＃xff0c;所以这两个字段的值可以更改&＃xff0c;最终使用的是两个字段的和。

>>>>

5、更新后的srv2.sys文件

主要是对Srv2DecompressData函数进行了更新&＃xff0c;添加了一些数据长度的检查。

>>>>

6、流量分析

使用两个不同的PoC造成的蓝屏的流量截图如下&＃xff1a;(1)设置Offset/Length字段为ffffffff(2) 设置OriginalCompressedSegmentSize字段为ffffffff&＃xff1a;

>>>>

7、漏洞防御策略

熟悉了漏洞原理后&＃xff0c;可以在流量测进行防御&＃xff0c;针对已公开的poc&＃xff0c;可以比如使用Snort的byte_math关键字判断两个字段的和是否会发生整数溢出&＃xff0c;发生了证明可能存在恶意流量。但目前来看&＃xff0c;这种防御策略是可以被绕过的。四、缓解措施及安全更新(1)缓解措施&＃xff1a;使用以下PowerShell命令禁用SMBv3压缩功能&＃xff1a;

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force使用下面的命令解禁用SMBv3压缩功能&＃xff1a;

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force(2)考虑到该漏洞影响较广&＃xff0c;且crash的PoC已经公开&＃xff0c;强烈建议及时安装官方安全补丁&＃xff0c;补丁链接如下&＃xff1a;https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0618五、备注网上看到一些大佬的分析&＃xff0c;定位到了压缩算法里的漏洞&＃xff0c;本人能力有限&＃xff0c;可能没有分析足够透彻&＃xff0c;望包涵。六、参考链接https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/1d435f21-9a21-4f4c-828e-624a176cf2a0#Appendix_A_Target_69https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/78e0c942-ab41-472b-b117-4a95ebe88271http://blogs.360.cn/post/CVE-2020-0796.htmlhttps://www.synacktiv.com/posts/exploit/im-smbghost-daba-dee-daba-da.htmlhttps://www.fortinet.com/blog/threat-research/cve-2020-0796-memory-corruption-vulnerability-in-windows-10-smb-server.html- End -

看雪ID&＃xff1a;有毒

https://bbs.pediy.com/user-779730.htm 

*本文由看雪论坛 有毒 原创&＃xff0c;转载请注明来自看雪社区。

推荐文章&＃43;&＃43;&＃43;&＃43;

* 一个深网灰色直播APP的逆向研究

* 捆绑包驱动锁首病毒分析

* **游戏逆向分析笔记

* 对宝马车载apps协议的逆向分析研究

* x86_64架构下的函数调用及栈帧原理

好书推荐

﹀﹀﹀公众号ID&＃xff1a;ikanxue官方微博&＃xff1a;看雪安全商务合作&＃xff1a;wsc&＃64;kanxue.com戳