CVE-2020-1206:SMBleed漏洞影響SMB
ZecOps安全研究人員發現一個影響Server Message Block (SMB)協議的安全漏洞,研究人員將其命名為SMBleed。漏洞位於SMB的解壓縮函數中,與SMBGhost和EternalDarkness漏洞(CVE-2020-0796)位於同一函數中,攻擊者利用該漏洞可以遠程從竊取kernel 內存信息,與之前爆出的蠕蟲漏洞結合之後,就可以實現遠程代碼執行攻擊。
漏洞分析
SMB協議運行在TCP 445埠,是文件分享、網路瀏覽、列印服務和網路上進程間通信的基礎。ZecOps研究人員稱該漏洞產生的原因是SMB的解壓縮函數Srv2DecompressData 在處理髮送給目標SMBv3 伺服器的偽造的消息請求時存在問題,攻擊者可以讀取未初始化的kernel內存,還可以對壓縮函數進行修改。
消息結構中含有要寫入的位元組數和flag域,之後是變長緩存。因為可以構建指定header的消息因此可以完美利用該領導,但邊長緩存中含有未初始化的數據。
攻擊者利用該漏洞可以獲取信息以進一步入侵用戶系統。要在伺服器上利用該漏洞,未經認證的攻擊者可以發送一個偽造的包到目標SMBv3 伺服器。
此外,SMBleed 可以在Windows 10系統上與SMBGhost 漏洞形成利用鏈來實現遠程代碼執行。關於漏洞利用的PoC代碼參見:https://github.com/ZecOps/CVE-2020-1206-POC
受影響的系統和補丁
漏洞影響 Windows 10 v1903 和1909版本,微軟6月補丁日已發布了該漏洞的安全補丁。
研究人員建議家用和企業用戶儘快安裝最新補丁。如果安裝失敗,建議攔截445 埠上的數據來防止進一步的攻擊活動。
更多技術細節參見:https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/
參考及來源:https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
