摘要:中小型企业远程代码执行漏洞(CVE-2020-0796 )分析、验证和增强
脆弱性的说明
Windows是微软公司开发的流行操作系统。
Microsoft windows中小型企业客户端的实现存在远程代码执行漏洞,远程攻击者可以以完全的用户权限在APP应用程序中执行任意代码,完全控制受影响的系统,并拒绝服务。
Microsoft SMB客户端验证特定的SMB响应时,由于存在未验证的远程代码执行漏洞,因此无需验证即可利用该漏洞。 攻击者可以通过发送客户端SMB请求的特殊SMB响应来使用该漏洞。 运行任意代码,成功完全控制了受影响的系统。 攻击者可以安装程序查看、修改或删除数据,或使用完全用户权限创建新帐户。
二、漏洞危害等级
高度
三、影响版本
windows 10版本1903 for 32-bit系统版10版本1903 forx 64 -基本系统版10版本1903 form 64 -基本系统版64 系统冲浪机,版本1903 (服务器核心安装)。 windows 10版本1909 for 32-bitsystemswindows 10版本1909 forx 64 -基本系统版本10版本1909 form 64 -基本系统版本windows 1909 form 64 -基本系统版本
四、漏洞原理
漏洞发生在srv2.sys中。 由于SMB没有正确处理压缩的包,因此在解压缩包时使用客户端发送的长度进行解压缩时,未检查长度是否合法。 最终导致整数溢出。smb v3支持数据压缩。 如果中小企业总管的协议id为0x424D53FC,即0xFC、“s”、“m”、“b”.则数据已被压缩。 在这种情况下,SMB将调用压缩解压缩处理的函数。
首先,中小型企业调用srv2! SRV 2接收处理程序函数接收中小型企业包,并根据ProtocoIId设置相应的处理函数。
生成整数溢出漏洞的代码如下。
五、漏洞检测
已经有很多验证脚本,总体思路是验证包中的特定位置是否包含十六进制的x11x03或x02x00这两个关键字。存在漏洞的中小企业版本的通信数据包如下。
POC版
也可以使用nmap的脚本进行验证,依靠nmap强大的框架,更加方便。
六、漏洞加固
1 .更新,完成修补程序的安装。
操作步骤:设置更新和安全性-Windows更新,点击“检查更新”。 2 .微软提供了临时的应对方法:运行regedit.exe,打开注册表编辑器,然后选择hklmsystemcurrent控制集服务语言管理服务器
3 .阻止中小型企业通信445端口。
上述内容大家学到了吗? 网络世界的安全漏洞每天都会出现。 所有市民都应该理解和学习安全知识和安全意识。 如果有想学习网络安全技能的伙伴的话随时会给我发信息哦。