安全风险通告Microsoft SMBv3远程代码执行漏洞安全风险通告第三次更新

Posted 2021-04-01 奇安信 CERT

2020年3月12日，微软官方发布了Windows SMBv3 客户端/服务器远程代码执行漏洞的安全更新细节和补丁程序，此漏洞被分配CVE编号为CVE-2020-0796，微软官方将此漏洞标记为“被利用可能性高”。目前已有安全专家编写出了可以远程使目标主机蓝屏的PoC。鉴于漏洞危害很大，建议客户尽快安装补丁更新。

本次更新提升了Microsoft SMBv3 远程代码执行漏洞检测工具的稳定性。

奇安信 CERT

漏洞描述

该漏洞为Microsoft SMBv3网络通信协议中的预身份验证远程代码执行漏洞。SMBv3在处理特定请求时，存在远程代码执行漏洞，该漏洞影响SMBv3服务器和SMBv3客户端。未经身份验证的攻击者可通过向受影响SMBv3服务器发送特制的压缩数据包来利用此漏洞，攻击者还可以通过配置恶意SMBv3服务器并诱导用户连接来利用此漏洞，成功利用此漏洞的远程攻击者可在目标机器上执行任意代码。值得注意的是，此漏洞存在客户端访问恶意服务端的利用场景，所以理论上引入了浏览器的攻击面。

微软官方将此漏洞标记为“被利用可能性高”。截至目前，此漏洞已经被修复并分配CVE编号为：CVE-2020-0796，同时官方已发布修复补丁。目前已有安全专家编写出了可以远程使目标主机蓝屏的PoC，暂未观察到PoC传播。

用户可以使用奇安信SMBv3远程代码执行漏洞检测工具检测相关资产是否已经安装对应补丁，检测工具使用方法如下：

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

处置建议

Microsoft SMBv3远程代码执行漏洞（CVE-2020-0796）处置建议：

目前，微软官方已发布针对此漏洞受影响版本的补丁程序，该安全更新通过更正SMBv3协议处理这些特制请求的方式来解决此漏洞。建议用户参考以下链接尽快安装补丁程序：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

如果暂时无法安装补丁程序，可采取临时缓解措施：

一、禁用SMBv3 compression

由于该漏洞补丁程序还未发布，微软官方给出了缓解措施来禁用SMBv3 compression。用户可使用以下PowerShell命令禁用compression功能，以阻止未经身份验证的攻击者利用此漏洞来攻击SMBv3服务器：

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

请注意：

1、进行更改后，无需重新启动。

2、此解决方法不能防止针对SMB客户端的利用。

使用以下PowerShell命令可解除禁用compression：

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 0 -Force

二、网络端口限制

1、在企业外围防火墙处阻止445端口的连接

TCP端口445用于启动与受影响组件的连接。在网络外围防火墙处阻止此端口将有助于保护位于防火墙后面的系统免受尝试利用此漏洞的攻击。这可以保护网络免受来自企业外围的攻击。在企业范围内阻止受影响的端口是避免基于Internet的攻击的最佳防御方法。但是，系统仍可能受到企业内网络的攻击。

2、遵循Microsoft准则以防止SMB流量流出公司网络，详情请查阅以下链接：

https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections

三、使用奇安信产品线解决方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列、奇安信天眼新一代威胁感知系统以及奇安信网神网络数据传感器（NDS3000/5000/7000/9000系列和vNDS1000/2000/3000系列）产品已加入对该漏洞的防护，可参考产品解决方案章节对此漏洞进行防护。另外奇安信公司针对“Microsoft SMBv3 远程代码执行漏洞 CVE-2020-0796”推出了远程快速扫描检测工具，可结合此工具检测系统是否受此漏洞影响。

技术分析

此漏洞是一个SMB 3.1.1协议栈的整数溢出漏洞，漏洞影响Windows 10 1903之后的32位、64位Windows（不影响Windows XP、Windows 7），理论上可以造成远程攻击。经过团队分析验证，在实际环境中远程发包可触发此漏洞，引起内核崩溃，导致蓝屏，容易造成DOS攻击。

该漏洞是一个位于Srv2DecompressData中的整数溢出漏洞。此函数的反编译如下：

在这行代码：

v7 = SrvNetAllocateBuffer((unsigned int)(Size.m128i_i32[1] + v4.m128i_i32[1]), 0i64);

中申请内存时，长度由(unsigned int)(Size.m128i_i32[1] + v4. m128i_i32[1])相加获得，而并没有考虑整数溢出的情况，导致分配的内存过小，从而引起内存溢出，引发崩溃。

具体对应到协议中的“OriginalCompressedSegmentSize”值。

（详细见https://docs.microsoft.com/en-us/openspecs/windows_protocols/ ms-smb2/1d435f21-9a21-4f4c-828e-624a176cf2a0）

我们来看下补丁修复的情况：

 if ( (signed int)RtlULongAdd(Size.m128i_u32[1], v7.m128i_u32[1], &v19) < 0 )

补丁修复的代码简单有效，用上了RtlULongAdd 消除了整数溢出。

产品线解决方案

奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对Microsoft SMBv3远程代码执行漏洞的防护。建议用户尽快将IPS特征库升级至” 2003111400” 及以上版本并启用规则ID: 50309进行检测防御。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0311. 11710及以上版本。规则名称：Microsoft SMBv3远程代码执行漏洞，规则ID：0x5a85。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS3000/5000/7000/9000系列和vNDS1000/2000/3000系列）产品，已具备对Microsoft SMBv3远程代码执行漏洞的检测能力。规则ID为：50309，建议用户尽快升级检测规则库至2003111400以上版本并启用该检测规则。

奇安信 CVE-2020-0796漏洞快速扫描检测工具

奇安信 CVE-2020-0796 漏洞快速扫描检测工具是奇安信公司针对“Microsoft SMBv3 远程代码执行漏洞 CVE-2020-0796”推出的一款远程扫描工具。本次更新提升了检测工具的稳定性。此工具的详情请见附件或访问以下链接下载：http://dl.qianxin.com/skylar6/CVE-2020-0796-Scanner.zip

参考资料

[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 

时间线

2020年3月23日，奇安信 CERT发布安全风险通告