Onderzoekers ontdekten een kritieke bug met de naam "SMBleed" in het netwerkcommunicatieprotocol van Microsoft Server Message Block (SMB).
Dit beveiligingslek kreeg de naam SMBleed en werd geïdentificeerd als CVE-2020-1206; Door dit beveiligingslek kunnen de aanvallers gemakkelijk op afstand alle vertrouwelijke gegevens uit het kernelgeheugen druppelen.
Door dit soort kwetsbaarheid te combineren met de vorige bug die ontwormbaar is, kan de fout gemakkelijk worden gebruikt om verschillende aanvallen uit te voeren op afstand met code.
Maar afgezien hiervan is onlangs een geschil gedetecteerd in de decompressiefunctie van het SMB SMBGhost (CVE-2020-0796), die drie maanden geleden werd onthuld, en deze gezochte kwetsbaarheid kan kwetsbare Windows-systemen openen voor malwareaanvallen die via netwerken kunnen worden uitgevoerd.
Volgens de Zeccops rapport, het is te wijten aan het feit dat de decompressiefunctie “Srv2DecompressData” in het SMB-protocol in staat is om speciaal vervaardigde berichtverzoeken (bijvoorbeeld SMB2 WRITE) te verwerken die naar de SMBv3-doelserver worden gestuurd. Zo kan een aanvaller gemakkelijk gegevens in het kernelgeheugen lezen en wijzigingen aanbrengen in de compressiefunctie.
Deze kwetsbaarheid treft de Windows 10-versies van 1903 en 1909, en Microsoft heeft onlangs ook de beveiligingspatches gepubliceerd.
Ze kondigden vorige week nog aan dat ze de gebruikers van Windows 10 dwingen, zodat ze hun apparaten kunnen updaten na misbruik van code voor de SMBGhost-bug die onlangs online werd geadverteerd.
Basisuitbuiting
Welnu, deze hele kwetsbaarheid heeft betrekking op SMB-berichten, en deze berichten bevatten voornamelijk velden zoals het aantal te adresseren bytes en vlaggen, en dus vergezeld van een buffer met variabele lengte. Door dit te maken, worden de berichten vrij eenvoudig, dus dit is een perfect hulpmiddel voor expositie.
Maar er is een variabele die niet-geïnitialiseerde gegevens bevat, en daarom voegen we een andere toevoeging toe aan de compressiefunctie die is gebaseerd op onze POC op Microsoft's WindowsProtocolTestSuites repository.
Het toevoegen van dit is niet voldoende, aangezien POC verschillende inloggegevens en een schrijfbare share nodig heeft, die in veel situaties gemakkelijk toegankelijk zijn. Toch verwijst de bug naar elke zoekopdracht van het bericht, zodat het op afstand kan worden gebruikt voor elke authenticatie.
Wat nog belangrijker is, is dat het gelekte geheugen over het algemeen verband houdt met de eerdere toewijzing in de NonPagedPoolNx-pool, aangezien we de toewijzingsgrootte kunnen beheren, wat impliceert dat de gelekte gegevens tot op zekere hoogte onder onze controle kunnen komen.
De cybersecurity-experts hebben zowel thuis- als zakelijke gebruikers aanbevolen om de nieuwste versie van Windows te installeren, aangezien deze kwetsbaarheid wordt aangetroffen in Windows 10 versie 1909 en 1903, zoals we eerder vertelden.
Maar er zijn enkele situaties waarin de patch niet van toepassing is, dus op dat moment moeten gebruikers gewoon poort 445 blokkeren om elke parallelle verplaatsing en externe exploitatie op hun kwetsbare systeem te stoppen.
TL; DR
- Aanvankelijk ontdekten de beveiligingsexperts tijdens het observeren van de SMBGhost nog een andere kwetsbaarheid: SMBleed.
- Deze kwetsbaarheid is gericht op het op afstand onthullen van het kernelgeheugen.
- SMBleed maakt de productie van pre-auth Remote Code Execution (RCE) mogelijk als het wordt gecombineerd met de SMBGhost.
- Er zijn twee hoofdlinks, POC # 1: SMBleed externe kernelgeheugen lezen, en de POC # 2: Pre-Auth RCE die SMBleed combineert met SMBGhost.
Betreffende Windows-versies
Dit zijn de Windows-versies die worden getroffen door dit beveiligingsprobleem met de toepasselijke updates geïnstalleerd: -
Windows 10-versie 2004
| bijwerken | SMBGhost | SMBloed |
| KB4557957 | Niet kwetsbaar | Niet kwetsbaar |
| Voor KB4557957 | Niet kwetsbaar | Kwetsbaar |
Windows 10-versie 1909
| bijwerken | SMBGhost | SMBloed |
| KB4560960 | Niet kwetsbaar | Niet kwetsbaar |
| KB4551762 | Niet kwetsbaar | Kwetsbaar |
| Voor KB4551762 | Kwetsbaar | Kwetsbaar |
Windows 10-versie 1903
| bijwerken | Null dereferentie-bug | SMBGhost | SMBloed |
| KB4560960 | vast | Niet kwetsbaar | Niet kwetsbaar |
| KB4551762 | vast | Niet kwetsbaar | Kwetsbaar |
| KB4512941 | vast | Kwetsbaar | Kwetsbaar |
| Geen van de bovengenoemde | Niet gemaakt | Kwetsbaar | Potentieel kwetsbaar |
Verzachting
- Werk uw Windows bij naar de nieuwste versie, omdat hiermee het probleem helemaal wordt opgelost.
- Blokkeer poort 445 om elke parallelle beweging te stoppen.
- Isoleer de gastheer.
- Schakel de SMB 3.1.1-compressie uit, maar houd er rekening mee dat de beveiligingsexperts dit niet aanbevelen.
Afgezien van al deze dingen, moet de aanvaller, als een ongeautoriseerde aanvaller misbruik wil maken van dit beveiligingslek, een kwaadwillende SMBv3-server configureren en de gebruiker overtuigen om er verbinding mee te maken.
De beveiligingsexperts hebben hun bevindingen al aan Microsoft gerapporteerd, en het bedrijf heeft dat al gedaan heeft de patches vrijgegeven om deze kwetsbaarheid op te lossen.
U kunt ons volgen Linkedin, Twitter, Facebook voor dagelijkse cyberbeveiliging en hacking-updates.
