澳门新葡萄京所有网站 1

近期,微软爆出高危 SMB TreeConnect
响应拒绝服务漏洞,编号为CNNVD-201702-204(CVE-2017-0016)。攻击者利用该漏洞通过诱使有漏洞的
SMB 客户端连接到一台恶意构造的 SMB
服务器,导致客户端操作系统系统蓝屏崩溃。

如果你是一位长期奋战在网络安全行业的人士,你一定会注意到一种情况:有些攻击是呈周期性的,比如有的恶意软件会通过技术迭代的方式不断地出现,而有些攻击类型和攻击方法虽然已经过时了,但也会借助某些新的载体出现。

另有报道称,Windows
Server(服务器操作系统)也可能受到影响,但目前尚未得到证实。US CERT
写到:

澳门新葡萄京所有网站 2

以网络共享为例,网络共享是一种允许用户通过网络共享文件和文件夹的技术。但不幸的是,网络共享一直是计算机蠕虫的热门攻击目标。比如
2017 年 5 月,在国内外网络中发现爆发基于 windows
网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的
NSA 黑客武器库中 ” 永恒之蓝 ”
攻击程序发起的网络攻击事件。但近年来,在使用电子邮件和受感染网站的大趋势下,基于
SMB 文件共享传播的蠕虫病毒的受欢迎程度有所下降。

微软 Windows
操作系统未能妥善处理来自一台恶意服务器的流量,具体说来就是,Windows
无法正确处理一个包含了太多字节的服务器响应(在 SMB2 TREE_CONNECT
响应结构中的定义)。

通过连接到一台恶意 SMB 服务器,有漏洞的 Windows 客户端系统或遇到
mrxsmb20.sys 崩溃(蓝屏死机)。

漏洞复现

还记得 WannaCry 吗?去年,它横扫全球 150
多个国家,让众多机构、企业、个人设备损失惨重。如今,WannaCry
余威犹在,效仿者也层出不穷。

有关利用该零日漏洞的攻击代码,早已在网络上被曝光,因此在微软官方补丁到来之前,Windows
8.1 / 10 操作系统的用户均直接暴露在危险之中。

Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项
Microsoft 网络文件共享协议。在大部分 windows
系统中都是默认开启的,用于在计算机间共享文件、打印机等。

你可能会认为 WannaCry
已经在技术快速迭代的今天已经成为了古老历史,那就大错特错了。时至今日,WannaCry
造成的直接冲击当然已经过去,但这并不意味着帮助它传播的机制可以被忽略,WannaCry
已经证明了基于 SMB 文件共享传播是多么的脆弱。例如,我们的下一代
IPS设备使用的多个 SMB 入侵检测规则经常被更新。这也不足为奇,因为端口
445(SMB 使用的主要端口)通常是开放的。实际上,在
Shodan(一个针对网络设备的搜索引擎)上,只要搜索端口
445,就会返回显示超过 200 万台打开此端口的设备。

US CERT
还指出,虽然当前没有一个更好的措施可以完全保障用户的安全,但大家还是可以临时将外传
SMB 连接给屏蔽掉

—— 从本地网络至广域网的 TCP 139 / 445 端口、以及 UDP 137 / 138 端口。


通过对 2018 年 10 月到 11 月,连续两个月安全监测,我们发现端口上的 SMB
端口活动出现了一个相当稳定的攻击模式。这表明,有攻击开始经常使用 SMB
作为攻击媒介。

稿源:cnBeta.com

漏洞分析:

在演示环境中,首先搭建一个恶意的 SMB
服务器(图左),诱使客户端(图右)发起请求:

澳门新葡萄京所有网站 3

演示环境

客户端发起请求,导致系统蓝屏崩溃:

澳门新葡萄京所有网站 4

客户端发起请求,导致系统蓝屏崩溃

根据漏洞复现,导致系统崩溃的情况,找到错误日志:

澳门新葡萄京所有网站 5

错误日志

进一步追踪,查看崩溃时内存转储信息:

澳门新葡萄京所有网站 6

内存转储信息

经分析调试发现,此时上图中参数 rcx 为 0,是空指针,当 SMBv3 Tree Connect
应答字符超过一定数量的时候,导致此空指针引用异常,引发系统蓝屏崩溃。


澳门新葡萄京所有网站 7

友情提示:

1、此漏洞存在于 SMB 客户端(mrxsmb20.sys),已公开的 POC
可以导致系统崩溃,并且微软尚未发布补丁。攻击者可以通过 445
等远程端口,或中间人攻击,或网页诱骗用户点击触发漏洞。千里目安全实验室建议企业客户可以将本地网络至广域网的外传
SMB 连接屏蔽掉(TCP 139/445 端口、以及 UDP 137/138 端口)。

参考链接:
https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect

当然,值得一提的是我们从 2018 年 11 月 13 日开始看到,基于 SMB
文件共享传播的蠕虫病毒事件开始飙升。与此同时,思科也发布了一份安全咨询,详细说明了可能通过
SMB
远程触发的漏洞。虽然我们无法确定这些是否是恶意攻击,但渗透测试人员通过测试还是新发现了漏洞,显而易见,基于
SMB 文件共享传播的蠕虫病毒又回归了。

SMB 的起源历史

从用户的角度来看,网络共享就是以计算机等终端设备为载体,借助互联网这个面向公众的社会性组织,进行信息交流和资源共享,并允许他人去共享自己的劳动果实。你可以访问远程计算机或从远程计算机复制文件,就像它们位于本地计算机上一样。你甚至不需要服务器就可以在计算机之间进行通信,这都得益于这些设备可以直接连接。

澳门新葡萄京所有网站 8

从历史上看,SMB ( 全称是 Server Message Block ) 一开始的设计是在 NetBIOS
协议上运行的(而 NetBIOS 本身则运行在 NetBEUI、IPX/SPX 或 TCP/IP
协议上),Windows 2000 引入了 SMB 直接在 TCP/IP
上运行的功能。它的流行在很大程度上要归功于微软从上世纪 90
年代初开始对该协议的采用、实现和投资。在 Windows 上设置和使用 SMB
非常简单,只需要很少的配置,就可以用于各种目的。不仅可以共享文件和文件夹,还可以共享打印机和其他设备。

毫无疑问,SMB
协议有助于让许多内部网络的性能释放出来。但是,这种易用性却有其非常脆弱的一面:协议几乎不需要身份验证或加密。虽然它的安全性在后来的版本中确实有所改进,但由于向后兼容性,旧版本至今仍占据着大量市场。

由于该协议可以直接连接计算机,因此该协议会自然成为黑客寻求攻击目标的必备途径。而蠕虫病毒就是其中一种常见的攻击手段,蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在
DOS
环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序或是一套程序,它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。尽管
SMB 并不总是攻击者的首选方法,但它却是最简单的方法。然而,随着 SMB
中一个关键漏洞的出现,情况发生了变化。

澳门新葡萄京所有网站 9

EternalBlue 曝光

2017 年,Shadow Brokers组织把 FBI 发现的 EternalBlue 漏洞(利用微软
MS17-010
漏洞所开发的网络武器。)公开了,后来就有了利用公布的这个漏洞四处横行的
WannaCry。EternalBlue 这个工具就是利用 windows 系统的 Windows SMB
远程执行代码漏洞向 Microsoft 服务器消息块
服务器发送经特殊设计的消息,进行远程代码执行。简而言之,此漏洞为恶意行为者在任何运行
SMB1 的计算机上安装恶意软件打开了大门。

漏洞的核心位于负责转换 SMBv1 消息中的 FEA ( SMBv1 标准中定义的 Full
Extended Attribute ) 列表块的函数,更具体地说,是转换 OS/2 和 SMBv1 的
NTV 变体的部分。用例本身 ( 在 OS/2 和 NT 格式之间进行转换 ) 意味着这是在
20 世纪 90
年代写的代码,代码可能会做相当危险的操作,因为这样的转换需要实现消息的复制与重写。

2017 年 4 月 16 日,CNCERT 主办的 CNVD 发布《关于加强防范 Windows
操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人 “Shadow
Brokers” 披露的多款涉及 Windows 操作系统 SMB
服务的漏洞攻击工具情况进行了通报,并对有可能产生的大规模攻击进行了预警。

澳门新葡萄京所有网站 10

2017 年 5 月 12 日,WannaCry
像野火一样蔓延,瞬间破坏了大量的计算机。如果用户启用了 SMB1,WannaCry
能够在没有用户任何操作的情况下利用它,安装其勒索软件有效载荷,寻找更多启用了
SMB1 的计算机,并感染它们。

Nyetya

自 2017 年 5 月份经历勒索软件 WannaCry 的大规模爆发后,思科 Talos
团队又在 6 月 27 日发现了最新的勒索软件变种—— Nyetya。 Nyetya
是通过一个税务软件包更新系统进行部署的,超过 80%
的乌克兰公司使用该税务软件,安装了超过 100
万台设备。乌克兰网络警察确认乌克兰有超过 2000 家公司受到 Nyetya 影响。

Nyetya 除了利用 EternalBlue 进行传播外,还利用了与 SMB
相关的另一个漏洞,名为 EternalRomance,它对旧版本的 Windows 破坏了更强。

乍一看,WannaCry 和 Nyetya 看起来很相似:它们都是通过 SMB
传播,然后对计算机进行加密。但 WannaCry 本身就是一个勒索软件,而 Nyetya
则是伪装成勒索软件,它其实是一款数据擦除的恶意软件。

这两个示例显示了使用易受攻击的网络协议是多么的危险,以及修补系统的重要性。然而,即使没有易于滥用的漏洞利用,SMB
对攻击者也同样具有吸引力。

虽然 SamSam,Bad Rabbit 和 Olympic Destroyer
等威胁会使用不同的工具来访问网络,但一旦进入到计算机内部,它们就会利用
SMB 来遍历它们。还有一些情况是使用针对 SMB
共享的暴力攻击实现数据窃取,攻击者使用工具一次又一次地输入共享密码,以期能猜中。

如何预防 SMB 威胁

WannaCRY 事件之后,安全行业普遍认为互联网安全进入了后 ” 永恒之蓝 ”
时代,但有关微软 SMB1 协议的安全漏洞还没有结束。2017 年 10 月,包括
CVE-2017-11781,CVE-2017-11782,CVE-2017-11815,CVE-2017-11780
的多个可被远程利用的 SMB1 漏洞曝光。

那么如何防范与 SMB 相关的攻击呢?非常简单:就是停止使用它。事实上,截至
2018 年 4 月,该协议不再预装在 Windows 中。

与其通过 SMB
连接计算机来共享文件,不如使用专用的文件服务器或基于云的服务。配置网络打印机以使用其他协议。如果你无法在你的环境中关闭
SMB,请至少确保禁用 SMB1。关闭 TCP 端口 445 和 139,以确保 SMB
通信仅限于内部网络。除此之外,端口不应该能够通过 SMB 相互通信。